El personal de seguridad de SolarWinds se está esforzando en solucionar una nueva vulnerabilidad Zero-Day que se está explotando activamente en lo que se describió como "ataques dirigidos limitados".

En un aviso emitido durante el fin de semana, SolarWinds dijo que un solo actor de amenazas explotó fallas de seguridad en sus productos Serv-U Managed File Transfer y Serv-U Secure FTP contra "un grupo limitado y específico de clientes".

Este Zero-Day es nuevo y no tiene ninguna relación con los ataques a la cadena de suministro de SUNBURST, dijo la compañía. La empresa dijo que los ataques fueron descubiertos por Threat Hunters en Microsoft que notaron ataques en vivo que explotaban una falla de ejecución remota de código en el producto SolarWinds Serv-U.

Microsoft proporcionó una prueba de concepto del exploit junto con pruebas de los ataques de Zero-Day. "Microsoft ha proporcionado evidencia de un impacto limitado y específico en los clientes, aunque SolarWinds no tiene actualmente una estimación de cuántos clientes pueden verse afectados directamente por la vulnerabilidad. SolarWinds desconoce la identidad de los clientes potencialmente afectados", dijo la compañía.

Si bien la investigación de Microsoft indica que esta explotación de vulnerabilidades involucra a un conjunto limitado de clientes específicos y un solo actor de amenazas, nuestros equipos conjuntos se han movilizado para abordarlo rápidamente.

SolarWinds ha enviado una revisión urgente, disponible en el portal del cliente, para abordar la vulnerabilidad, que afecta a Serv-U 15.2.3 HF1 y todas las versiones anteriores de Serv-U. La compañía ha publicado algunos indicadores de compromiso (IOC) para ayudar a detectar signos de compromiso, pero los detalles técnicos completos de la vulnerabilidad se mantendrán en secreto para que los clientes tengan tiempo de probar e implementar los parches más nuevos. También se recomiendan desactivar SSH para prevenir la explotación remota.

La compañía señaló que esta vulnerabilidad no está relacionada con el ataque a la cadena de suministro descubierto el año pasado. El anuncio más reciente de SolarWinds con respecto a ese ataque, que se ha atribuido a los actores de amenazas rusos, afirmó que, si bien miles de clientes recibieron actualizaciones maliciosas de sus sistemas después de una infracción, menos de 100 se vieron comprometidos.

Fuente: Security Week