A maioria edição recente para beleaguer SolarWinds, agora que a empresa maior pesadelo do ano está no espelho retrovisor, é a vulnerabilidade encontrada em seus produtos Serv-U Managed File Transfer Server e Serv-U Secured FTP Server. A vulnerabilidade abre espaço para uma exploração que dá aos atores da ameaça controle sobre os dados do servidor e permite a instalação do programa. Microsoft declarou que acredita conhecer a identidade dos responsáveis por se aproveitarem do infortúnio da SolarWinds.
A Microsoft atribui a exploração da vulnerabilidade a um grupo na China, referido por Redmond como DEV-0322. Esse não é o nome que o grupo usa para si mesmo, mas sim, é como a Microsoft o nomeia. Este é o processo de rotulagem do Microsoft Threat Intelligence Center (MSTIC):
“O MSTIC rastreia e investiga uma série de atividades e operações cibernéticas mal-intencionadas. Durante as fases de rastreamento e investigação, antes de o MSTIC alcançar alta confiança sobre a origem ou identidade do ator por trás de uma operação, nos referimos ao ator de ameaça não identificado como um” desenvolvimento grupo “ou” grupo DEV “e atribui a cada grupo DEV um número exclusivo (DEV – ####) para fins de rastreamento.”
Quanto às operações do DEV-0322 fora da SolarWinds problemática, a Microsoft observa que viu o grupo perseguir os do setor de base industrial de defesa dos EUA e empresas de software. O DEV-0322 utiliza VPNs e roteadores de consumidor sequestrados em sua infraestrutura.
A postagem no blog da Microsoft sobre o grupo chinês descreve os detalhes técnicos da vulnerabilidade do produto SolarWinds e dá aos interessados nos detalhes uma visão melhor do que está acontecendo. Lembre-se de que a SolarWinds já tem um hotfix para os problemas mencionados acima, portanto, se você for uma parte afetada, certifique-se de se proteger.
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.