Le gang de ransomware Clop, également suivi sous les noms TA505 et FIN11, exploite une vulnérabilité SolarWinds Serv-U pour violer les réseaux d’entreprise et finalement crypter ses appareils.
La vulnérabilité d’exécution de code à distance Serv-U Managed File Transfer et Serv-U Secure FTP, suivie comme CVE-2021-35211, permet à un acteur malveillant distant d’exécuter des commandes sur un serveur vulnérable avec des privilèges élevés.
SolarWinds a publié une mise à jour de sécurité d’urgence en juillet 2021 après avoir découvert « un seul acteur de menace » l’exploitant dans des attaques.
La société a également averti que cette vulnérabilité n’affecte que les clients qui ont activé la fonctionnalité SSH, qui est couramment utilisée pour protéger davantage les connexions au serveur FTP.
Vulnérabilité utilisée dans les attaques de ransomware
Selon un nouveau rapport du Groupe NCC, il y a eu une légère augmentation des infections par ransomware Clop au cours des deux dernières semaines, la plupart d’entre elles commençant par l’exploitation de CVE-2021-35211.
Alors que le gang Clop est connu pour utiliser des vulnérabilités dans ses attaques, telles que les attaques zero-day d’Accellion, les chercheurs déclarent que TA505 utilise plus couramment des e-mails de phishing avec des pièces jointes malveillantes pour violer les réseaux.
Dans les nouvelles attaques repérées par NCC, les acteurs de la menace exploitent Serv-U pour engendrer un sous-processus contrôlé par les attaquants, leur permettant ainsi d’exécuter des commandes sur le système cible.
Cela ouvre la voie au déploiement de logiciels malveillants, à la reconnaissance du réseau et au mouvement latéral, posant essentiellement le terrain pour une attaque de ransomware.
Un signe caractéristique de cette faille exploitée est des erreurs d’exception dans les journaux Serv-U, provoquées lorsque la vulnérabilité est exploitée.
L’erreur d’exception affichée dans les journaux sera similaire à la chaîne suivante :
‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’
Un autre signe d’exploitation est la trace de l’exécution de la commande PowerShell, qui est utilisée pour déployer une balise Cobalt Strike sur le système vulnérable.
Pour la persistance, les acteurs détournent une tâche planifiée légitime qui est utilisée pour sauvegarder régulièrement les ruches de registre et abusent du gestionnaire COM associé pour charger «FlawedGrace RAT».
FlawedGrace est un outil que TA505 utilise depuis au moins novembre 2017, et il reste un élément fiable de l’arsenal du groupe.
NCC Group a publié la liste de contrôle pratique suivante pour les administrateurs système qui soupçonnent une compromission :
- Vérifiez si votre version Serv-U est vulnérable
- Localisez le DebugSocketlog.txt du Serv-U
- Recherchez des entrées telles que « EXCEPTION : C0000005 ; CSUSSHSocket::ProcessReceive();’ dans ce fichier journal
- Recherchez l’ID d’événement 4104 dans les journaux d’événements Windows entourant la date/l’heure de l’exception et recherchez les commandes PowerShell suspectes
- Vérifiez la présence d’une tâche planifiée piratée nommée RegIdleBackup à l’aide de la commande PowerShell fournie
- En cas d’abus : le CLSID dans le gestionnaire COM ne doit PAS être défini sur {CA767AA8-9157-4604-B64B-40747123D5F2}
- Si la tâche inclut un CLSID différent : vérifiez le contenu des objets CLSID dans le registre à l’aide de la commande PowerShell fournie, les chaînes codées en Base64 renvoyées peuvent être un indicateur de compromission.
Malgré les nombreuses alertes pour appliquer la mise à jour de sécurité, de nombreux serveurs Serv-U vulnérables restent accessibles au public.
Les instances FTP Serv-U les plus vulnérables sont situées en Chine, tandis que les États-Unis arrivent en deuxième position.
Source : Groupe CNC
Cela fait presque quatre mois que SolarWinds a publié la mise à jour de sécurité pour cette vulnérabilité, mais le pourcentage de serveurs Serv-U potentiellement vulnérables reste supérieur à 60%.
« En juillet, 5945 (~94%) de tous les services Serv-U (S)FTP identifiés sur le port 22 étaient potentiellement vulnérables. En octobre, trois mois après que SolarWinds a publié son correctif, le nombre de serveurs potentiellement vulnérables est toujours important à 2784. (66,5 %) », préviennent les chercheurs dans leur rapport.