SolarWinds, la società americana produttrice di software di gestione IT e monitoraggio remoto, divenuta tristemente nota alla fine dello scorso anno per il massiccio attacco subito alla sua catena di approvvigionamento, sta esortando in questi giorni i propri clienti a correggere una vulnerabilità (identificata come CVE-2021-35211) riscontrata nel suo servizio di trasferimento file gestito (Serv-U) che conterrebbe un serio difetto di esecuzione di codice remoto arbitrario con privilegi.
Ad aggravare ulteriormente la criticità della vulnerabilità il fatto che il componente del noto strumento di orchestrazione degli apparati di rete risulta essere ampiamente utilizzato in ambienti Entreprise.
La vulnerabilità, a quanto si sa finora, risulta essere già sfruttata attivamente da un singolo attore di minacce che però non è stato ancora correttamente indentificato.
Indice degli argomenti
SolarWinds: i dettagli della vulnerabilità
Nello specifico, tale vulnerabilità riguarderebbe i prodotti Serv-U Managed File Transfer e Serv-U Secure FTP, ed il relativo fix sarebbe stato pubblicato a seguito di un alert notificato dai team Microsoft Threat Intelligence Center (MSTIC) e Microsoft Offensive Security Research, riguardo ad uno sfruttamento in natura del difetto riscontrato in modalità zero day.
La vulnerabilità è stata confermata anche dalla stessa SolarWinds nel Security Advisory da cui si evince che risultano essere vulnerabili tutte le versioni di SolarWinds Serv-U fino alla 15.2.3 HF1.
C’è da dire, comunque, che una condizione necessaria per lo sfruttamento della vulnerabilità è l’abilitazione del servizio SSH sul componente Serv-U, il che rende un po’ più complicato lo sfruttamento della vulnerabilità stessa.
“Per quanto ne sappiamo, nessun altro prodotto SolarWinds è stato interessato da questa vulnerabilità.”, afferma la stessa società nel suo comunicato stampa. “Microsoft”, continua la nota ufficiale, “ha fornito prove di un impatto limitato e mirato sui clienti, sebbene SolarWinds non disponga attualmente di una stima di quanti clienti potrebbero essere direttamente interessati dalla vulnerabilità. SolarWinds non è a conoscenza dell’identità dei clienti potenzialmente interessati”.
In realtà, Microsoft ha rivelato che gli attacchi possono essere attribuiti con molta probabilità a un gruppo criminale identificato come DEV-0322. “Questo gruppo di attività ha sede in Cina ed è stato osservato utilizzare soluzioni VPN commerciali e router consumer compromessi nella propria infrastruttura di attacco”, si legge in un nuovo post sul blog del Microsoft Threat Intelligence Center.
Il gruppo criminale, sempre secondo i ricercatori Microsoft, sarebbe specializzato in attacchi che prendono di mira entità nel settore industriale della difesa degli Stati Uniti e società di software.
La patch risolutiva e le misure di mitigazione
Lo scorso venerdì 9 luglio 2021, SolarWinds ha risolto la vulnerabilità di sicurezza CVE-2021-35211 rilasciando l’hotfix per Serv-U versione 15.2.3 HF2, specificando che tutti gli altri prodotti SolarWinds e N-able non risultano essere interessati.
SolarWinds sta esortando, inoltre, gli amministratori di rete ad aggiornare i dispositivi di sicurezza aziendali prestando attenzione alle connessioni SSH (porta 22) potenzialmente sospette provenienti dai seguenti indirizzi IP:
- 98[.]176.196.89
- 68[.]235.178.32
e a quelle TCP (porta 443) provenienti dall’indirizzo:
- IP 208[.]113.35.58.
Inoltre, i ricercatori del Microsoft Threat Intelligence Center consigliano agli utenti Serv-U alcuni controlli per verificare se i loro dispositivi sono stati compromessi.
Conclusioni
Considerata la criticità della questione, è fondamentale pianificare, quanto prima, l’applicazione delle patch di sicurezza messe a disposizione da SolarWinds. Qualora non fosse possibile provvedere immediatamente all’installazione degli aggiornamenti, procedere almeno alla disabilitazione temporanea del servizio SSH, prevenendo in tal modo eventuali compromissioni.
Uno sfruttamento con successo della falla, che interessa non solo l’ultima versione Serv-U 15.2.3 HF1 rilasciata a maggio 2021 ma anche le precedenti, potrebbe consentire a un attaccante di eseguire codice arbitrario sul sistema infetto, installare programmi malevoli, leggere, modificare o cancellare dati sensibili.
Rimane comunque ancora poco chiara l’esatta modalità d’attacco.
