2020 yılının Aralık ayında, 9 ABD ajansı ve 100 özel şirketin güvenliğini tehlikeye atan büyük bir tedarik zincir saldırısı yaşayan ABD merkezli yazılım şirketi SolarWinds, sınırlı sayıda müşteriyi hedef aldığı düşünülen Serv-U dosya aktarım teknolojisinde, uzaktan kod yürütülmesini sağlayan 0-day (sıfırıncı gün açığı) zafiyetini gidermek için yeni bir yama yayınladı.
Microsoft tarafından keşfedilen güvenlik zafiyeti özel olarak SolarWinds ekibiyle paylaşıldı. SolarWinds Cuma günü yayınladığı bir bilgilendirme açıklamasında; Microsoft tarafından Serv-U Yönetilen Dosya Aktarım Sunucusu ve Serv-U Güvenli FTP ile ilgili bir güvenlik zafiyeti konusunda bilgilendirildiklerinin ve bu zafiyeti gidermek için bir yama geliştirdiklerini belirtti. Microsoft’un yaptığı araştırmada, sınırlı sayıda müşterinin hedef alındığının ve etkilendiğinin ancak SolarWinds’in portföyünde yer alan kaç müşterinin doğrudan etkilendiğine dair herhangi bir tahminlerinin olmadığını belirttiler.
Hangi sürümler etkileniyor?
CVE-2021-35211 olarak belirtilen bu sıfırıncı gün açığı ile ilgili olarak:
- 5 Mayıs 2021’de yayınlanan, en son Serv-U sürümü olan 15.2.3 HF1 ve önceki tüm sürümleri etkilediği belirtiliyor.
- Bu güvenlik açığından başarılı bir şekilde yararlanacak bir tehdit aktörünün, Serv-U ürünlerini barındıran makinelere ayrıcalıklı erişim elde edebilleceği belirtiliyor. Bu ayrıcalıklarla birlikte rastgele kod yürütülebileceği, daha sonra ise verileri görüntüleyebileceği, silebileceği veya değiştirilebileceği yada yeni programlar yükleyebileceği belirtiliyor.
- SolarWinds’e göre, ortamda SSH etkinleştirilmemiş ise güvenlik açığının mevcut olmadığı belirtiliyor.
Güncelleme yayınlandı
SolarWinds tarafından 9 Temmuz 2021 Cuma günü bununla ilgili yeni bir yama yayınladı ve Serv-U kullanan tüm müşterilerin , bu güncelleştirmeyi acil olarak yüklemelerini önerdi. Bununla birlikte etkilenen iki üründe de SSH erişiminin devre dışı bırakılması durumunda istismarın önlenebileceği belirtildi. Şirketin ayrıca verdiği diğer bir bilgide, bu yeni güvenlik açığının SUNBURST olarak bilinen tedarik zinciri saldırısıyla tamamen alakasız olduğunu ekledi.
Tehdit Aktörü açıklanmadı
Her iki şirkette CVE-2021-53211’i kötüye kullanan saldırıların ne zaman başladığını ve arkalarında hangi tehdit aktörünün olduğu ile ilgili bir bilgi paylaşmadı.
