Analisi: attacco zero-day di SolarWinds
La metà di luglio 2021 è stato un periodo buio per il fornitore di software con sede in Texas SolarWinds, poiché la società ha dovuto affrontare un attacco da parte di un singolo attore di minacce che sfruttava le falle di sicurezza nei suoi prodotti Serv-U Managed File Transfer e Serv-U Secure FTP. Questo attacco zero-day ha causato danni significativi a un numero limitato di clienti SolarWinds, evidenziando la necessità di robusti sistemi di difesa informatica e misure per aiutare a prevenire attacchi simili.
L'attacco zero-day di SolarWinds è iniziato il 15 luglio, quando un singolo attore della minaccia ha sfruttato le vulnerabilità della sicurezza sia in Serv-U Managed File Transfer (MFT) che in Serv-U Secure FTP, che sono ampiamente utilizzati da aziende e privati per trasferire file in modo sicuro tra sistemi. L'autore della minaccia ha attaccato i clienti in un paese senza nome, anche se si ritiene che gli attacchi siano stati compiuti proveniva dalla Cina.
Microsoft ha avvisato SolarWinds di un attacco zero-day
SolarWinds è venuta a conoscenza dell'attacco lo stesso giorno dopo essere stata allertata da Microsoft, affermando che era già stata utilizzata da aggressori informatici per prendere di mira i propri clienti commentando "Microsoft ha fornito prove" sebbene l'impatto fosse "limitato e mirato".
Secondo Microsoft, questi tipi di attacchi stanno diventando sempre più comuni poiché gli attori delle minacce sfruttano varie vulnerabilità in un'ampia gamma di prodotti software.
Sebbene da allora SolarWinds abbia risolto i problemi di sicurezza e migliorato le sue misure di sicurezza per prevenire attacchi simili in futuro, la minaccia evidenzia la necessità per le aziende e gli individui di rimanere vigili sulla sicurezza informatica. Con i criminali informatici che diventano sempre più abili nello sfruttare i difetti del software, disporre di solide difese è più importante che mai.
Patch di sicurezza SolarWinds per Zero-Day
Sulla scia di questo attacco devastante, SolarWinds ha lavorato rapidamente per correggere le vulnerabilità della sicurezza con un hotfix. In una dichiarazione rilasciata poco dopo la scoperta degli attacchi, SolarWinds ha riconosciuto l'attacco zero-day e ha promesso di mettere in atto misure per prevenire attacchi futuri.
L'azienda ha esortato i propri clienti ad aggiornare immediatamente i propri sistemi.
Con un numero sempre crescente di minacce informatiche che emergono ogni giorno, è fondamentale che le aziende e gli individui prendano provvedimenti per proteggersi da attacchi come questi.
Chi c'era dietro l'attacco Zero-Day di SolarWinds?
Come dimostra questo incidente, può essere difficile determinare la vera fonte degli attacchi informatici e delle vulnerabilità della sicurezza.
L'attacco zero-day di SolarWinds è stato effettuato da un nuovo attore di minacce noto come DEV-0322, che si ritiene abbia sede in Cina. Si pensa che gli aggressori abbiano utilizzato tecniche e tattiche sofisticate, inclusi exploit di vulnerabilità precedentemente sconosciute per portare a termine il loro attacco. Ciò suggerisce che gli aggressori potrebbero aver avuto risorse significative a loro disposizione.
Sebbene non sia ancora noto chi ci fosse dietro l'attacco, sembra che sia stato attentamente pianificato ed eseguito da un gruppo sofisticato con ampie risorse.
Ulteriori letture sul SolarWinds Zero-Day
Microsoft ha creato un team dedicato per ricercare e analizzare gli attacchi zero-day come quello recente contro SolarWinds. Conosciuto come il team Offensive Research & Security Engineering (ORSE), questo gruppo si concentra sul fornire supporto a team come MSTIC con competenze avanzate nello sviluppo di exploit.
Questo nuovo team ORSE è stato formato in risposta al crescente numero e alla complessità degli attacchi zero-day rivolti ad aziende come SolarWinds. Il loro obiettivo è fornire a Microsoft una comprensione più profonda di queste minacce, in modo che l'azienda possa proteggere meglio i propri clienti da incidenti simili in futuro.
Il team ORSE combina i talenti di esperti ricercatori di sicurezza, ingegneri, data scientist ed esperti di prevenzione per aiutare a sviluppare nuove difese contro gli attacchi zero-day. Combinando la ricerca all'avanguardia con l'applicazione pratica, questo team contribuisce a rendere i prodotti Microsoft più sicuri e protetti per tutti.
Il team ORSE ha già dato importanti contributi nel campo della sicurezza informatica, compreso lo sviluppo di una serie di metodi avanzati per mitigare gli exploit zero-day. Il loro lavoro è stato fondamentale nel fornire protezione contro molti degli ultimi attacchi e continuerà a essere un fattore importante per mantenere le aziende al sicuro online.
Dettagli tecnici su SolarWinds Zero-Day forniti dal team ORSE
Per chi fosse interessato, l'approfondimento del team ORSE è andato nei minimi dettagli sull'SSH in Serv-U fornendo "l'istanza più probabile di tale codice":
Puoi seguire l'intera immersione profonda sul blog Microsoft.
Articoli Correlati
Altri post e articoli che potrebbero interessarti.
