Microsoft ha scoperto una vulnerabilità zero-day nel software Serv-U di SolarWinds che permette di eseguire codice remoto. L’azienda statunitense ha prontamente rilasciato una patch che risolve il problema. Questo nuovo bug non è correlato al noto attacco SUNBURST effettuato a dicembre 2020 dal gruppo di cybercriminali Cozy Bear contro il software Orion.
Vulnerabilità Serv-U: attacco in corso
Microsoft ha comunicato a SolarWinds di aver rilevato attacchi in corso che sfruttano la vulnerabilità zero-day, identificata con CVE-2021-35211. L’azienda di Redmond ha fornito i dettagli sull’exploit che, al momento, è stato utilizzato per colpire un numero limitato di clienti. SolarWinds non conosce il numero esatto né l’identità dei clienti. I prodotti interessati sono Serv-U Managed File Transfer e Serv-U Secure FTP.
Il bug, presente nelle versioni 15.2.3 HF1 e precedenti, può essere sfruttato per accedere ai computer che eseguono Serv-U con privilegi elevati. Ciò permette quindi di compiere varie azioni pericolose, come installare ed eseguire programmi, visualizzare, modificare e cancellare dati. Come misure preventiva è consigliabile disattivare l’accesso SSH (se attivato), ma SolarWinds suggerisce di installare al più presto l’aggiornamento Serv-U 15.2.3 HF2.
L’azienda statunitense pubblicherà ulteriori dettagli sulla vulnerabilità zero-day nei prossimi giorni, dopo aver dato ai clienti il tempo sufficiente per aggiornare i loro sistemi. Nell’avviso di sicurezza pubblicato sul sito ufficiale sono presenti utili informazioni, tra cui gli indicatori dell’attacco.
Aggiornamento (14/07/2021): Microsoft ha attribuito gli attacchi al gruppo cinese denominato DEV-0322.