Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка TA505 в ходе атак использует уязвимость в SolarWinds Serv-U

11/11/21

сервуКиберпреступная группировка TA505 эксплуатирует уязвимость в SolarWinds Serv-U для взлома корпоративных сетей и шифрования компьютерных систем с помощью вымогательского ПО Clop.

Уязвимость удаленного выполнения кода ( CVE-2021-35211 ) в платформах Serv-U Managed File Transfer и Serv-U Secure FTP позволяет удаленному злоумышленнику выполнять команды на уязвимом сервере с повышенными привилегиями. Уязвимость затрагивает только клиентов, включивших функцию SSH, которая обычно используется для дополнительной защиты подключений к FTP-серверу.

По словам специалистов из компании NCC Group, в последние пару недель наблюдался всплеск кибератак с использованием вымогательского ПО Clop, большинство из которых начинались с эксплуатации уязвимости CVE-2021-35211. Злоумышленники используют Serv-U для запуска подконтрольного подпроцесса, что позволяет им запускать команды на целевой системе, устанавливать вредоносные программы, осуществлять кибершпионаж и перемещаться по сети жертвы.

Характерным признаком использования данной уязвимости являются ошибки исключения в журналах Serv-U, возникающие при ее эксплуатации. Еще одним признаком эксплуатации являются следы выполнения PowerShell-команды, которая используется для установки маячков Cobalt Strike на уязвимой системе.

Для обеспечения персистентности преступники перехватывает контроль над легитимной задачей, используемой для регулярного резервного копирования кустов реестра, и злоупотребляют соответствующим обработчиком COM для загрузки FlawedGrace RAT.

Наибольшая часть уязвимых установок Serv-U FTP находится в Китае (1141), на втором месте — США (549). За ними следуют Канада (99), Россия (92) и Гонконг (88). Прошло почти четыре месяца с тех пор, как SolarWinds выпустила обновление безопасности для этой уязвимости, но процент потенциально уязвимых серверов Serv-U остается выше 60%.

«В июле 5945 (примерно 94%) из всех FTP-сервисов Serv-U (S), идентифицированных на порту 22, были потенциально уязвимыми. В октябре, через три месяца после выпуска патча от SolarWinds, количество потенциально уязвимых серверов по-прежнему остается значительным и составляет 2784 (66,5%)», — отметили эксперты.

Темы:УгрозыВымогателиSolarWinds
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...