Во взломанном ПО SolarWinds отсутствовала защита от эксплоитов

Американский производитель программного обеспечения SolarWinds, в декабре прошлого года пострадавший от масштабной атаки на цепочку поставок, не реализовал меры по предотвращению эксплуатации, что позволило злоумышленникам осуществить таргетированные кибератаки в июле нынешнего года.

Речь идет о целенаправленных атаках с эксплуатацией уязвимости нулевого дня в продуктах Serv-U Managed File Transfer и Serv-U Secure FTP. Основываясь на виктимологии, техниках, тактиках и процедурах, специалисты Microsoft Threat Intelligence Center (MSTIC), отнесли атаки на счет киберпреступной группировки DEV-0322, действующей с территории Китая.

На минувшей неделе специалисты Microsoft опубликовали более подробный анализ атаки, в котором отметили, что SolarWinds не реализовала технологию ASLR (Address Space Layout Randomization, рандомизация адресного пространства) в некоторых модулях своего ПО.

«Включение ASLR […] это критическая мера безопасности для сервисов, открытых для недоверенного удаленного ввода данных и требующая, чтобы все бинарные файлы в процессе были совместимы для более эффективной защиты от атак, использующих вшитые адреса в эксплоитах, как это было возможно в Serv-U», - отметили специалисты.

По словам исследователей, атакующие использовали DLL-библиотеки, скомпилированные без ASLR, которые внедрялись в процесс Serv-U и эксплуатировали уязвимость CVE-2021-35211 .

Команда Microsoft подтвердила, что производитель уже исправил уязвимость в ПО, однако неясно, был ли добавлен механизм ASLR в уязвимые продукты.

ASLR (Address Space Layout Randomization) - механизм обеспечения безопасности, который включает в себя рандомизацию виртуальных адресов памяти различных структур данных, чувствительных к атакам.