A empresa americana SolarWinds, fornecedora de ferramentas de monitoramento e gerenciamento de TI de grandes empresas e também do governo dos EUA, anunciou nesta terça-feira (13) o lançamento de uma atualização de segurança para corrigir uma vulnerabilidade de dia zero em servidores do tipo FTP Serv-U, que permitem a troca de arquivos entre computadores quando o acesso remoto (SSH) está ligado.
O lançamento do patch ocorreu logo após a Microsoft ter anunciado que um grupo de hackers, operando supostamente a partir da China, estava explorando o bug do produto da SolarWinds para invadir grandes empresas de software e até mesmo o Departamento de Defesa norte-americano.
A Microsoft forneceu a prova de conceito (POC) à SolarWinds na noite de segunda-feira (12), demonstrando como os hackers estavam explorando a vulnerabilidade. Quando obtêm sucesso, os cibercriminosos conseguem instalar programas, visualizar, alterar ou excluir dados dos sistemas invadidos. A SolarWinds não tem ideia de quantos clientes foram afetados.
Quem são os hackers que estão explorando a falha da SolarWinds?
Fonte: 2-Spyware/ReproduçãoFonte: 2-SpyWare
A Microsoft tomou conhecimento dos ataques, depois que a telemetria do Microsoft 365 Defender revelou a execução de um processo Serv-U aparentemente inofensivo, gerando processos maliciosos anormais. Segundo os especialistas da empresa, é muito provável que os responsáveis pelo ataque sejam um grupo hacker com base na China, rastreado com o codinome “DEV-0322”.
Em postagem divulgada no blog do Microsoft Threat Intelligence Center (MSTIC), os analistas da dona do Windows explicaram que o suposto grupo chinês “foi observado usando soluções VPN comerciais e roteadores de consumidor comprometidos durante sua infraestrutura de ataque".
Detalhes da invasão podem ser vistos diretamente na descrição do MSTIC publicada no blog da Microsoft. Vale lembrar, inclusive, que a SolarWinds já estava envolvida em outro ataque cibernético grave recentemente.
Fontes