SolarWinds не реализовала технологию ASLR в некоторых модулях своего ПО.
Американский производитель программного обеспечения SolarWinds, в декабре прошлого года пострадавший от масштабной атаки на цепочку поставок, не реализовал меры по предотвращению эксплуатации, что позволило злоумышленникам осуществить таргетированные кибератаки в июле нынешнего года.
Речь идет о целенаправленных атаках с эксплуатацией уязвимости нулевого дня в продуктах Serv-U Managed File Transfer и Serv-U Secure FTP. Основываясь на виктимологии, техниках, тактиках и процедурах, специалисты Microsoft Threat Intelligence Center (MSTIC), отнесли атаки на счет киберпреступной группировки DEV-0322, действующей с территории Китая.
На минувшей неделе специалисты Microsoft опубликовали более подробный анализ атаки, в котором отметили, что SolarWinds не реализовала технологию ASLR (Address Space Layout Randomization, рандомизация адресного пространства) в некоторых модулях своего ПО.
«Включение ASLR […] это критическая мера безопасности для сервисов, открытых для недоверенного удаленного ввода данных и требующая, чтобы все бинарные файлы в процессе были совместимы для более эффективной защиты от атак, использующих вшитые адреса в эксплоитах, как это было возможно в Serv-U», — отметили специалисты.
По словам исследователей, атакующие использовали DLL-библиотеки, скомпилированные без ASLR, которые внедрялись в процесс Serv-U и эксплуатировали уязвимость CVE-2021-35211.
Команда Microsoft подтвердила, что производитель уже исправил уязвимость в ПО, однако неясно, был ли добавлен механизм ASLR в уязвимые продукты.
ASLR (Address Space Layout Randomization) — механизм обеспечения безопасности, который включает в себя рандомизацию виртуальных адресов памяти различных структур данных, чувствительных к атакам.
Источник: securitylab