SolarWinds non ha implementato la tecnologia ASLR in alcuni moduli del suo software.
Il produttore di software statunitense SolarWinds, che ha subito un massiccio attacco alla catena di approvvigionamento lo scorso dicembre, non è riuscito a implementare misure di prevenzione dello sfruttamento, che hanno permesso agli aggressori di lanciare attacchi informatici mirati nel luglio di quest’anno.
Si tratta di attacchi mirati che sfruttano una vulnerabilità zero-day nei prodotti Serv-U Managed File Transfer e Serv-U Secure FTP. Sulla base di vittimologia, tecniche, tattiche e procedure, il Microsoft Threat Intelligence Center (MSTIC) ha attribuito gli attacchi al gruppo di criminali informatici DEV-0322 operante dalla Cina.
La scorsa settimana, gli esperti di Microsoft hanno pubblicato un’analisi più dettagliata dell’attacco, in cui hanno notato che SolarWinds non ha implementato la tecnologia ASLR (Address Space Layout Randomiization) in alcuni moduli del suo software.
“Abilitare ASLR […] è una misura di sicurezza fondamentale per i servizi aperti all’immissione di dati remoti non attendibili e richiede che tutti i binari nel processo siano compatibili per difendersi meglio dagli attacchi che utilizzano indirizzi hardcoded negli exploit, come è stato possibile in Serv-U”, – hanno detto gli esperti.
Secondo i ricercatori, gli aggressori hanno utilizzato DLL compilate senza ASLR che si sono iniettate nel processo Serv-U e hanno sfruttato la vulnerabilità CVE-2021-35211.
Il team Microsoft ha confermato che il produttore ha già corretto la vulnerabilità nel software, ma non è chiaro se il meccanismo ASLR sia stato aggiunto ai prodotti interessati.
ASLR (Address Space Layout Randomization) è un meccanismo di sicurezza che randomizza gli indirizzi di memoria virtuale di varie strutture di dati suscettibili di attacchi.