Vulnerabilidad de día cero en productos Serv-U de SolarWinds
ANÁLISIS
La vulnerabilidad CVE-2021-35211 existente en la implementación Serv-U del protocolo SSH (Secure Shell) de SolarWinds, podría permitir a un atacante remoto ejecutar código arbitrario con privilegios, lo que haría posible la instalación de programas, la ejecución de cargas útiles maliciosas y el acceso y manipulación de datos en el sistema.
Esta vulnerabilidad ha sido evaluada con una alta criticidad.
Asimismo los recursos afectados han sido los siguientes:
Por un lado, Serv-U Managed File Transfer Server, versión 15.2.3 HF1 y anteriores; por otro lado, Serv-U Secure FTP, versión 15.2.3.HF1 y anteriores [2].
RECOMENDACIONES
Por todo ello, se recomienda actualizar a la versión 15.2.3 HF2, así como aplicar aquellas actualizaciones indicadas por el fabricante [2] [3].
INDICADORES DE COMPROMISO
98 [.] 176 [.] 196 [.] 89
68 [.] 235 [.] 178 [.] 32
208 [.] 113 [.] 35 [.] 58
144 [.] 34 [.] 179 [.] 162
97 [.] 77 [.] 97 [.] 58
hxxp: // 144 [.] 34 [.] 179 [.] 162 / a
C: Windows Temp Serv-U.bat
C: Windows Temp test current.dmp
REFERENCIAS
[1] https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/ejecucion-remota-codigo-productos-serv-u-solarwinds
[2] https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
[3] https://www.microsoft.com/security/blog/2021/07/13/microsoft-discovers-threat-actor-targeting-solarwinds-serv-u-software-with-0-day-exploit/