2021-09-06 21:27:29
Мы уже писали ранее, за атакой на
SolarWinds скорее стояли именно китайские
APT, которые получили исходники
Exhcange еще в ходе кампании
Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу
ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
Последние события если не дополняют нашу версию, то во всяком случае не противоречат уж точно.
Microsoft Threat Intelligence Center раскрыли более подробную информацию об июльских атаках на
SolarWinds, обвинив в атаках действующую из Китая
DEV-0322.В середине июля этого года техасский поставщик программного обеспечения
SolarWinds выпустил экстренное обновление безопасности, чтобы исправить ошибку нулевого дня в своей технологии передачи файлов
Serv-U, которая активно эксплуатировалась на тот момент в дикой природе.
В основе реализованной хакерами
CVE-2021-35211 лежит отсутствующая защита рандомизация адресного пространства
ASLR в двоичных файлах
Serv-U, в связи с чем воспользоваться багой было «не так уж сложно», по мнению специалистов.
APT нацелена на SSH-серверы
SolarWinds Serv-U, которые подвержены уязвимости удаленного выполнения кода до авторизации, которая может быть легко и надежно использована в конфигурации по умолчанию. Подключившись к открытому порту
SSH и отправив искаженный запрос на предварительную аутентификацию,
DEV-0322 запускают вредоносный код в целевой системе и захватывают уязвимые устройства. Что э происходило дальше, как в июльских атаках - не разглашается, но все и так понимают.
Ну, а мы все же настаиваем, что обвинения российских хакеров в атаке на
SolarWinds являются не более, чем политическими манипуляциями, когда перевести стрелки на Россию выгодно. До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
2.2K views18:27