Microsoft geeft meer details over zerodayaanval op SolarWinds Serv-U

[Captain Kirk]

Een zerodaylek in de FTP-software van SolarWinds is misbruikt door een uit China opererende groep, zo stelt Microsoft. Het techbedrijf ontdekte de kwetsbaarheid in Serv-U en waarschuwde SolarWinds, dat vorige week met beveiligingsupdates kwam. Via het beveiligingslek kan een aanvaller op afstand willekeurige code op de server uitvoeren, waaronder het installeren van malware of het bekijken en aanpassen van data.

De aanval is alleen mogelijk wanneer de Serv-U-server via SSH toegankelijk is. Volgens Microsoft is een vanuit China opererende groep, die het aanduidt als DEV-0322, voor de zeroday-aanvallen verantwoordelijk. De groep heeft het voorzien op Amerikaanse defensiebedrijven en softwarebedrijven, stelt Microsoft verder. Voor de aanvallen maakt de groep onder andere gebruik van commerciële vpn-diensten en gecompromitteerde consumentenrouters.

Microsoft geeft daarnaast informatie over hoe organisaties die met Serv-U werken kunnen zien of hun server mogelijk gecompromitteerd is. Zo blijken de aanvallers onder andere een global user aan Serv-U toe te voegen. Verder zijn er verschillende Indicators of Compromise gegeven, zoals ip-adressen.

 

bron: https://www.security.nl