SolarWinds colpita da un nuovo attacco hacker: falla nel client FTP

15 Luglio 2021 15

SolarWinds è stata colpita da un altro attacco hacker: l'ha segnalato la divisione di Microsoft dedicata alla cybersicurezza, ovvero MSTIC (Microsoft Threat Intelligence Center). Gli hacker hanno scoperto e sfruttato una vulnerabilità nell'implementazione del protocollo SSH (Secure Shell) in Serv-U, un client FTP sviluppato dalla società; SolarWinds ha detto che tutte le versioni del software rilasciate dal 5 di maggio 2021 in poi sono vulnerabili.

Un hotfix correttivo è stato rilasciato il 9 luglio, e la sua applicazione è caldamente raccomandata: le la SSH vulnerabile di Serv-U si connette a internet, spiega Microsoft, un attacco potrebbe permettere l'esecuzione di codice non autorizzato con privilegi elevati, causando a sua volta l'installazione ed esecuzione di malware o il furto di dati sensibili.

Secondo le indagini di Microsoft, la vulnerabilità è stata scoperta da un gruppo di hacker chiamato DEV-0322. La società ritiene che provengano dalla Cina; non è perfettamente chiaro quali danni abbiano fatto finora, ma pare che l'obiettivo fosse accedere ai dati delle organizzazioni militari statunitensi clienti di SolarWinds.

Si tratta del secondo grave attacco alla struttura dell'azienda IT texana in appena qualche mese. Lo scorso dicembre, moltissimi clienti dell'azienda avevano subìto cospicue perdite di dati - a Microsoft stessa erano stati rubati i codici sorgente di tre software, ovvero Azure, InTune e Exchange. In quell'occasione, i sospetti sono ricaduti su un gruppo di cybercriminali russo, probabilmente sovvenzionato o comunque collegato al governo stesso.


15

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ErCipolla

Beh, l'ecosistema npm è costruito proprio intorno a pacchetti single purpose, la teoria è che anche per cose semplici se usi una implementazione ben rodata eviti di fare cassate, che possono capitare anche quando si implementano cose semplici. "Don't reinvent the wheel" è uno dei principi base dell'ingegneria del software

Alessio Ferri

Sì, ma leftpad faceva una cosa che sarebbe stata reimplementabile in 5 minuti da chiunque, invece hanno deciso di includerla in massa come dipendenza. Leftpad è l'esempio sulla leggerenza con cui la gente include dipendenze, non come esempio di libreria scritta male o con vulnerabilità.

ErCipolla

Ma leftpad mica era scritto male o aveva vulnerabilità. Il problema lì era totalmente diverso, è un problema con il fatto che npm permette di de-pubblicare pacchetti, cosa che per un sistema di dependency management è assurdo. Sistemi progettati meglio, come ad esempio nuget di Microsoft, non permettono di far sparire un pacchetto già pubblicato, per evitare appunto di "rompere" tutti i progetti che lo usano.

Alessio Ferri

Metà del mondo aveva dipendenze verso leftpad. Microsoft consiglia script di persone a caso come implementazioni alternative dei comandi che toglie da powershell. Non è stereotipo, è solo che a volte c'è una certa leggerezza nel fare le cose.

Just.In.Time

SolarWinds... mi ricorda Prison Break

ErCipolla

Un po' uno stereotipo, non trovi?

Per carità, tutto può essere, ma tipicamente le librerie open che si usano per gestire protocolli complessi come SSH, sFTP, ecc. non sono robe "fatte da un tizio nel tempo libero", hanno tutta una community e anni (se non decenni) di sviluppo alle spalle.

Poi ripeto, tutto può essere, magari hai ragione tu, se trovo il tempo vado a leggermi i dettagli della CVE

Giangiacomo

Non ne sarei così convinto.

Alessio Ferri

Avranno avuto una dipendenza verso una libreria sviluppata nel tempo libero per prova. L'avranno trovata cercando su StackOverflow la soluzione ad un problema che non avevano tempo di risolvere e l'avranno aggiunta senza controllare.

Alessio Ferri

Vai con questa speranza. La sicurezza richiede di spendere soldi, ma non c'è un ritorno di profitto immediato. Con tutto il mondo impegnato nelle trimestrali, a nessuno importa di fare risultati peggiori per migliorare la sicurezza. Solo Google passa la vita a sviluppare tecniche di fuzzing per hardware/software per scovare tutti gli errori possibili. Non è assolutamente abbastanza, anche con tutti i milioni che ci investono sopra.

ErCipolla
ErCipolla

Che ci sarebbe da commentare? E' una falla di sicurezza in un software, come se ne scoprono tante ogni giorno... l'importante, come sempre, è che venga corretta in tempi rapidi (cosa già fatta da quel che leggo).

Fa notizia più che altro perché gli sviluppatori sono specializzati in sicurezza, ma non è che se uno è specializzato in sicurezza i suoi software siano privi di bug, il software privo di bug non esiste.

Giangiacomo

Mi fa ridere tutta questa cosa. Perché qui tutti i grossi "espertoni" del blog fino a ieri dicevano "le aziende hanno software vecchi e non aggiornati e ci vorranno moltissimi anni prima che aggiornino i loro software, tecnologie e molto altro". Magari ora con questi incessanti attacchi dal punto di vista della sicurezza si prenderanno decisioni più sagge e si stanzierà un budget più alto per la sicurezza e per migliorare i software dato che tutte queste grosse aziende per guadagnare di più stanziano ogni anno pochi fondi. Ed il bello è che ormai farsi fregare i dati è qualcosa che sta diventando "normale". Basta che vedere Aruba che ha detto che gli son stati rubati tutti i dati ma non i metodi di pagamento; come se gli altri dati non fossero importanti per l'utente.

Gupi

Aspetto commenti degli hacker/lamer espertoni di HDblog

:(

Daniel

I soliti russi e cinesi che evidentemente non hanno un c. da fare tutto il giorno.

Recensione Samsung Galaxy Book Pro 360, convertibile super sottile e leggero

Facciamo il punto su Windows 11: tutto ciò che bisogna sapere

Windows 11, Microsoft cambia idea sui requisiti: solo sistemi recenti

Recensione ASUS ROG Zephyrus S17, tanta roba ma che prezzo!