Grave Falla di SolarWinds Serv-U Sotto Attacco

Proto: N030721.

Con la presente, CERT-Yoroi desidera informarla relativamente a una grave vulnerabilità che affligge SolarWinds Serv-U, componente del noto strumento di orchestrazione degli apparati di rete ampiamente utilizzato in ambienti Entreprise. La criticità è nota con l’identificativo CVE-2021-35211. 

In particolare, la vulnerabilità è causata da delle lacune nella gestione della memoria all’interno dei moduli “Serv-U Managed File Transfer” e “Serv-U Secure FTP”, le quali permettono ad un attaccante remoto privo di autenticazione di eseguire codice arbitrario, condizione che abilita scenari di rischio rilevanti in quanto le infrastrutture in oggetto operano potenzialmente esposte su internet (ftp/s e http/s). 

Figura. Potenziale Esposizione Internet di servizi Serv-U Italia (Source:ShodanHQ) 

La vulnerabilità è stata confermata dal Vendor nell’apposita Security Advisory dove risultano vulnerabili tutte le versioni di SolarWinds Serv-U fino alla 15.2.3 HF1. Tuttavia, condizione necessaria per lo sfruttamento della vulnerabilità è l'abilitazione del servizio SSH sul componente: senza di esso la criticità non è sfruttabile.

Inoltre, tale vulnerabilità è già oggetto di attacchi mirati operati da attori criminali che hanno sfruttato la falla per introdursi all’interno di organizzazioni con servizi Serv-U vulnerabili. A tale proposito, si consiglia di appurare l’assenza di connessioni provenienti dalle seguenti destinazioni remote: 

• Connessioni SSH/22 sospette provenienti dai seguenti IP: 
  • 98.176.196 .89 
  • 68.235.178 .32 
• Connessioni TCP/443 provenienti dal seguente IP 
  • 208.113.35 .58 

Considerata la criticità dei sistemi afflitti, lo sfruttamento in modalità 0-day da parte di attori criminali ed il precedente grave attacco subito da SolarWinds nel 2020, CERT-Yoroi consiglia caldamente di pianificare l’applicazione delle patch di sicurezza messe a disposizione dal Vendor; nel caso in cui non fosse possibile provvedere immediatamente all’installazione degli aggiornamenti, di procedere alla disabilitazione temporanea del servizio SSH e dei moduli afflitti fino all’avvenuta installazione delle patch. Yoroi consiglia inoltre di appurare l’assenza di connessioni e contatti sospetti dalle destinazioni di rete sopra riportate e qualora ci fossero attività sospette, di richiedere supporto per l'investigazione di eventuali intrusioni di rete. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index