Clop-ransomware maakt misbruik van kwetsbaarheid in SolarWinds-software

[Captain Kirk]

De bende achter de Clop-ransomware, die ook de Universiteit van Maastricht infecteerde, maakt nu misbruik van een bekende kwetsbaarheid in software van SolarWinds om bedrijven en organisaties aan te vallen. Voorheen verstuurde de groep vooral phishingmails voor het infecteren van organisaties. Dat meldt securitybedrijf NCC Group in een analyse. Het beveiligingslek dat de Clop-groep gebruikt is aanwezig in SolarWinds Serv-U.

Via Serv-U kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. In juli waarschuwde SolarWinds voor een actief aangevallen zerodaylek waardoor remote code execution op de server mogelijk is. Volgens Microsoft, dat de zeroday-aanvallen ontdekte, was een vanuit China opererende groep aangeduid als DEV-0322 hiervoor verantwoordelijk. Nu beschikt ook de Clop-groep, aangeduid als TA505, over exploits om kwetsbare Serv-U ftp-servers aan te vallen.

Zodra de server is gecompromitteerd proberen de aanvallers daarvandaan andere systemen in het netwerk aan te vallen. Volgens NCC Group waren er in juli nog zesduizend kwetsbare Serv-U ftp-servers vanaf het internet toegankelijk. Drie maanden nadat SolarWinds de beveiligingsupdate beschikbaar maakte gaat het nog altijd om 2800 ongepatchte machines die risico lopen om te worden aangevallen. Van deze kwetsbare servers bevinden zich er 29 in Nederland, aldus de onderzoekers.

 

bron: https://www.security.nl