Microsoft Tautkan Serangan 0-Hari SolarWinds Serv-U SSH ke Grup Peretasan Tiongkok

  • Whatsapp
Microsoft Tautkan Serangan 0-Hari SolarWinds Serv-U SSH ke Grup Peretasan Tiongkok

 

Bacaan Lainnya

Microsoft Threat Intelligence Center telah menerbitkan fakta teknis mengenai eksploitasi eksekusi kode jarak jauh 0 hari yang sekarang ditambal yang memengaruhi perangkat lunak layanan transfer file terkelola SolarWinds Serv-U yang telah dikaitkan dengan “keyakinan tinggi” ke grup peretas yang berfungsi di luar China.

Pada awal Juli, tim Microsoft Offensive Research & Security Engineering membahas kelemahan eksekusi kode jarak jauh (CVE-2021-35211) yang ada dalam implementasi protokol Secure Shell (SSH) Serv-U, yang dapat dimanfaatkan oleh penjahat cyber untuk mengeksekusi kode arbitrer pada sistem yang disusupi, termasuk kemampuan untuk menginstal program yang merusak dan memeriksa, memodifikasi, atau menghapus data yang sensitif.

“Server SSH Serv-U tunduk pada kerentanan eksekusi kode jarak jauh pra-autentikasi yang dapat dengan mudah dan andal dieksploitasi dalam konfigurasi default,” tim Riset Serangan dan Teknik Keamanan Microsoft menjelaskan dalam artikel terperinci yang menjelaskan eksploit tersebut.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke port SSH yang terbuka dan mengirimkan permintaan koneksi pra-autentikasi yang salah. Ketika berhasil dieksploitasi, kerentanan kemudian dapat memungkinkan penyerang untuk menginstal atau menjalankan program, seperti dalam kasus serangan yang ditargetkan. kami sebelumnya melaporkan,” tambah para peneliti.

Meskipun Microsoft mengaitkan serangan itu dengan DEV-0322, sebuah kelompok peretasan yang berbasis di China dengan mengutip “viktimologi, taktik, dan prosedur yang diamati,” perusahaan tersebut kini telah mengungkapkan kerentanan pra-otentikasi jarak jauh yang berasal dari cara proses Serv-U mengelola akses. pelanggaran tanpa menghentikan proses, sehingga membuatnya mudah untuk melakukan percobaan eksploitasi yang tersembunyi dan dapat diandalkan.

“Kerentanan yang dieksploitasi disebabkan oleh cara Serv-U awalnya membuat konteks OpenSSL AES128-CTR. Ini, pada gilirannya, dapat memungkinkan penggunaan data yang tidak diinisialisasi sebagai penunjuk fungsi selama dekripsi pesan SSH berturut-turut,” kata para peneliti.

“Oleh karena itu, penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke port SSH yang terbuka dan mengirimkan permintaan koneksi pra-auth yang salah. Kami juga menemukan bahwa penyerang kemungkinan menggunakan DLL yang dikompilasi tanpa pengacakan tata letak ruang alamat (ASLR) yang dimuat oleh Server. Prosesnya untuk memudahkan eksploitasi,” jelas peneliti lebih lanjut.

ASLR adalah mekanisme perlindungan yang terutama digunakan untuk melindungi terhadap serangan buffer overflow dengan mengatur posisi ruang pegangan secara acak di mana executable sistem dimuat ke dalam memori.

Setelah pemeriksaan menyeluruh terhadap peretasan SolarWinds, peneliti Microsoft menyarankan organisasi yang terpengaruh untuk mengaktifkan kompatibilitas ASLR untuk semua binari yang dimuat dalam prosedur Serv-U.“ASLR adalah mitigasi keamanan penting untuk layanan yang terpapar pada input jarak jauh yang tidak tepercaya, dan mengharuskan semua binari dalam proses tersebut kompatibel agar efektif dalam mencegah penyerang menggunakan alamat hardcoded dalam eksploitasi mereka, seperti yang mungkin dilakukan di Serv-U ,” para peneliti menyimpulkan.

Tahun lalu pada bulan Desember, Microsoft mengungkapkan bahwa kelompok spionase yang berbeda mungkin telah mengeksploitasi perangkat lunak Orion dari penyedia infrastruktur TI untuk menginstal pintu belakang persisten yang disebut Supernova pada perangkat yang terkontaminasi. Perusahaan keamanan siber SecureWorks mengaitkan penyusupan tersebut dengan kelompok peretasan yang terkait dengan China bernama Spiral.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *