Trung tâm chống Tình báo de doạ Threat Intelligence Center (MSTIC) của Microsoft (MSTIC) đã báo cáo vào hôm thứ Ba rằng phần mềm SolarWinds đã bị một nhóm tin tặc gọi là “DEV-0322” tấn công bằng cách khai thác lỗ hỏng ZERO-DAY.
Các tin tặc tập trung vào phần mềm SolarWinds ’Serv-U FTP, với mục tiêu giả định là truy cập vào các khách hàng của công ty trong ngành công nghiệp quốc phòng Hoa Kỳ.
Cuộc tấn công zero-day lần đầu tiên được phát hiện trong quá trình quét Microsoft 365 Defender thông thường. Phần mềm nhận thấy một "quy trình độc hại bất thường" mà Microsoft giải thích chi tiết hơn trong blog của mình, nhưng có vẻ như các tin tặc đang cố gắng tự biến mình thành quản trị viên Serv-U, trong số các hoạt động đáng ngờ khác.
SolarWinds đã báo cáo việc khai thác lỗ hổng zero-day vào thứ Sáu, ngày 9 tháng 7, giải thích rằng tất cả các bản phát hành Serv-U từ ngày 5 tháng 5 trở về trước đều chứa lỗ hổng bảo mật.
Công ty đã phát hành một hotfix để giải quyết vấn đề và việc khai thác kể từ đó đã được vá, nhưng Microsoft viết rằng nếu giao thức Secure Shell (SSH) của Serv-U được kết nối với internet, tin tặc có thể “chạy mã tùy ý từ xa với các đặc quyền, cho phép chúng thực hiện các hành động như cài đặt và chạy các tải trọng độc hại hoặc xem và thay đổi dữ liệu. ” Bất kỳ ai đang chạy phần mềm Serv-U cũ hơn đều được khuyến khích cập nhật phần mềm đó càng sớm càng tốt.
Vụ hack đầu tiên đưa SolarWinds trở thành ánh đèn sân khấu vào tháng 12 năm 2020 đã làm lộ diện hàng trăm cơ quan chính phủ và doanh nghiệp. Không giống như vụ hack trước đây, hiện được kết nối rộng rãi với một nhóm tin tặc có liên quan đến nhà nước Nga có tên là Cozy Bear, Microsoft cho biết cuộc tấn công zero-day này bắt nguồn từ Trung Quốc.
Theo Microsoft, DEV-0322 đã có thói quen tấn công “các thực thể trong Khu vực Cơ sở Công nghiệp Quốc phòng Hoa Kỳ” và được biết đến với việc “sử dụng các giải pháp VPN thương mại và các bộ định tuyến tiêu dùng bị xâm phạm trong cơ sở hạ tầng của những kẻ tấn công”.
www.Uviet.net