Microsofts Threat Intelligence Center (MSTIC) rapporterede tirsdag, at SolarWinds-software blev angrebet med en nul-dages udnyttelse af en gruppe hackere, den kalder “DEV-0322.” Hackerne var fokuseret på SolarWinds 'Serv-U FTP-software med det formodede mål at få adgang til virksomhedens klienter i den amerikanske forsvarsindustri.
Nul-dags angrebet blev først set i en rutinemæssig Microsoft 365 Defender-scanning. Softwaren bemærkede en “uregelmæssig ondsindet proces”, som Microsoft forklarer mere detaljeret i sin blog, men det ser ud til, at hackerne forsøgte at gøre sig til Serv-U-administratorer, blandt andre mistænkelige aktiviteter.
Opdater Serv-U så snart muligt
SolarWinds rapporterede om nul-dagsudnyttelsen fredag den 9. juli og forklarede, at alle Serv-U-udgivelser fra 5. maj og tidligere indeholdt sårbarheden. Virksomheden udgav et hotfix for at løse problemet, og udnyttelsen er siden blevet patched, men Microsoft skriver, at hvis Serv-U's Secure Shell (SSH) -protokol er forbundet til internettet, kunne hackerne “eksternt køre vilkårlig kode med privilegier, så de kan udføre handlinger som at installere og køre ondsindede nyttelast eller se og ændre data. ” Enhver, der kører ældre Serv-U-software, opfordres til at opdatere den så hurtigt som muligt.
Det første hack, der skubbede SolarWinds ud i rampelyset i december 2020, udsatte hundreder af offentlige agenturer og virksomheder. I modsætning til det tidligere hack, som nu er bredt forbundet med en russisk statstilknyttet gruppe af hackere kaldet Cozy Bear, siger Microsoft, at dette nul-dages angreb stammer fra Kina. DEV-0322 har gjort det til en vane at angribe “enheder i US Defense Industrial Base Sector”, skriver Microsoft, og er kendt for “at bruge kommercielle VPN-løsninger og kompromitterede forbrugerroutere i deres angriberinfrastruktur.”