微软称SolarWinds Serv-U SSH 0天攻击背后是中国黑客

微软分享了一个现已修复的、被积极利用的严重安全漏洞的技术细节，该漏洞影响SolarWinds Serv-U托管文件传输服务，微软“高度信任”地将其归因于一个在中国境外运营的威胁行为体。

7月中旬，这家总部位于德克萨斯州的公司修复了一个远程代码执行漏洞（CVE-2021-35211），该漏洞源于Serv-U对安全外壳（SSH）协议的实现，攻击者可能会滥用该漏洞在受感染的系统上运行任意代码，包括安装恶意程序和查看、更改或删除敏感数据的能力。

“Serv-U SSH服务器存在预授权远程代码执行漏洞，在默认配置下可以轻松可靠地利用该漏洞，”微软攻击性研究和安全工程团队在描述该漏洞的详细报告中说。

研究人员补充说：“攻击者可以通过连接到开放的SSH端口并发送格式错误的预验证连接请求来攻击此漏洞。成功利用此漏洞后，攻击者可以安装或运行程序，例如我们之前报告的目标攻击。”。

虽然微软将这些攻击与总部位于中国的DEV-0322集团联系起来，并引用“观察到的受害者、战术和程序”，但该公司现已披露，远程预授权漏洞源于Serv-U进程在不终止进程的情况下处理访问违规的方式，从而使其易于秘密启动，可靠的利用尝试。

“被利用的漏洞是由Serv-U最初创建OpenSSL AES128-CTR上下文的方式造成的，”研究人员说。“这反过来又允许在连续SSH消息的解密过程中使用未初始化的数据作为函数指针。”

“因此，攻击者可以通过连接到开放的SSH端口并发送格式错误的预验证连接请求来利用此漏洞。我们还发现，攻击者可能使用未经Serv-U进程加载的地址空间布局随机化（ASLR）编译的DLL来利便攻击，”研究人员补充道。

ASLR指的是一种保护机制，它通过随机安排系统可执行文件加载到内存中的地址空间位置来增加执行缓冲区溢出攻击的难度。

向SolarWinds报告该漏洞的微软表示，建议对Serv-U过程中加载的所有二进制文件启用ASLR兼容性。研究人员说：“对于暴露于不可信远程输入的服务，ASLR是一种关键的安全缓解措施，并要求过程中的所有二进制文件都是兼容的，以便有效防止攻击者在其利用漏洞时使用硬编码地址，这在Serv-U中是可能的。”。

如果说有什么区别的话，这些披露突显了威胁行为人用来破坏公司网络的各种技术和工具，包括搭载合法软件。

尽管SolarWinds供应链攻击已正式锁定在俄罗斯APT29黑客身上，但微软在2020年12月披露，一个单独的间谍组织可能一直在利用IT基础设施提供商的Orion软件，在受感染的系统上投放一个名为Supernova的持久后门。网络安全公司Secureworks将入侵事件与一个名为“螺旋”的与中国有关的威胁行为体联系起来。