Solarwinds, müşterileri, sınırlı sayıda müşteriyi hedef alan saldırılarda "tek bir tehdit aktör" tarafından vahşi "tek bir tehdit aktör" ile istihdam edilen bir Serv-U uzak kodu yürütme güvenlik açığını düzeltmeye çağırıyor.
Şirket, Cuma günü yayınlanan bir danışmanlık yaptığı açıklamada, "Microsoft sınırlı, hedeflenmiş müşteri etkisine dair kanıt sağlamıştır.
"Anlayışımızın en iyisine, bu güvenlik açığından başka hiçbir SolarWinds ürünü etkilenmedi. [..] Solarwinds, potansiyel olarak etkilenen müşterilerin kimliğinin farkında değil."
Sıfır Gün Güvenlik Açığı (CVE-2021-35211 olarak izlenir) Serv-U yönetilen dosya aktarımını ve Serv-U Secure FTP'yi etkiler ve uzak tehdit aktörlerinin, başarılı bir şekilde sömürülmesinin ardından hakemli kodu yürütmesini sağlar.
Solarwinds'e göre, "SSH ortamda etkin değilse, güvenlik açığı mevcut değil."
Microsoft Thiman Intelligence Center (MSTIC) ve Microsoft Ofansif Güvenlik Araştırma Ekipleri tarafından 2021'de yayımlanan en son serv-U 15.2.3 HF1'de bulunan hata, önceki tüm sürümleri de etkiler.
Solarwinds, Microsoft tarafından sunulan SERV-U sürüm 15.2.3 düzeltmesi (HF) 2'nin serbest bırakılmasıyla bildirilen güvenlik açığını ele aldı.
Şirket, diğer tüm Solarwinds ve N-olabilen ürünlerin (Orion platformu ve Orion platform modülleri dahil) CVE-2021-35211'den etkilenmesini ekledi.
"Solarwinds, 9 Temmuz 2021 Cuma günü bir düzeltme yayınladı ve bu düzeltmeyi kullanan tüm müşterileri, bu düzeltmeyi hemen ortamınızın korunması için hemen yükledik" dedi.
SolarWinds, Microsoft'un bildirdiği saldırılar sırasında ortamınızın tehlikeye girmediğini nasıl bulacağınız hakkında ek bilgi sağlar.
Müşteriler ayrıca "Serv-U Yardımı" konulu bir müşteri hizmetleri bileti açarak daha fazla bilgi talep edebilir.
Geçen yıl, Solarwinds, Rusya Yabancı İstihbarat Servisi tarafından koordine edilen bir tedarik zinciri saldırısı açıkladı.
Saldırganlar, şirketin iç sistemlerini ihlal etti ve Orion yazılımı platformu kaynak kodunu trojanize etti ve 2020 ve 2020 Mart arasında piyasaya sürüldü.
Kötü amaçlı yapılar daha sonra "18.000'den az" ila "18.000'den az" olarak izlenen bir arka kapı sunmak için kullanıldı, ancak neyse ki, tehdit aktörleri sadece ikinci aşama sömürüsü için önemli ölçüde daha az sayıda hedef aldı.
Saldırı açıklanmadan hemen önce, Solarwinds 'dünya çapında 300.000 müşteri listesi listesi [1, 2], 425'ten fazla ABD servisi 500 firma, tüm ilk on ABD telekom şirketi ve ABD ordusu, ABD de dahil olmak üzere uzun bir govt ajansları listesi vardı. Pentagon, Devlet Bölümü, NASA, NSA, Posta Servisi, NOAA, ABD Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanı Ofisi.
Birden fazla ABD Govt ajansı, Solarwinds tedarik zinciri saldırısında ihlal edildiklerini;
Mart ayında SolarWinds, geri giderme ve olay soruşturması ile ilgili maliyetler de dahil olmak üzere, geçen yılki tedarik zinciri saldırısından 3.5 milyon dolarlık harcamaları bildirdi.
Solarwinds tedarik zinciri saldırısının ardından 3,5 milyon dolar, şu ana kadar rapor edilen yapılan harcamalar, daha sonraki finansal dönemler boyunca yüksek ekstra masraflar bekleniyor.
Hacker'lar, ABD Savunma Orglarını hedeflemek için yeni Solarwinds sıfır günü kullanıyor
HPE Aralık ayında açıklanan kritik sıfır gün güvenlik açığını düzeltir
Microsoft Kritik PowerShell 7 Kod Yürütme Güvenlik Açığı Uyarıları
Saldırganlar savunmasız VMware sunucularını tarıyor, şimdi yama!
VMWare Tüm VCenter Server Yüklemelerini Etkileyen Kritik Hatanın Uyarıları
Kaynak: Bleeping Computer