主动攻击下新的关键太阳风零日漏洞

位于德克萨斯州的SolarWinds公司去年年底成为大规模供应链攻击的中心，该公司已发布补丁，以包含其Serv-U托管文件传输服务中的远程代码执行漏洞。

这些针对Serv-U管理的文件传输和Serv-U安全FTP产品的修复程序是在微软通知这家IT管理和远程监控软件制造商该漏洞正在被利用后发布的。目前尚不清楚此次攻击背后的威胁因素，也不清楚攻击是如何实施的。

SolarWinds在周五发布的一份咨询中表示：“微软提供了有限的、有针对性的客户影响的证据，但SolarWinds目前还没有估计有多少客户可能直接受到该漏洞的影响。”他补充说，微软“不知道潜在受影响客户的身份。”

成功利用该缺陷（CVE-2021-35211）可能会影响Serv-U版本15.2.3 HF1及之前的版本，使对手能够在受感染的系统上运行任意代码，包括安装恶意程序和查看、更改或删除敏感数据的能力。

作为妥协的迹象，该公司敦促管理员注意通过SSH从IP地址98[.]进行的潜在可疑连接176.196.89和68[.]235.178.32，或通过TCP 443从IP地址208[.]113.35.58. 在Serv-U安装上禁用SSH访问也可以防止泄露。

Serv-U版本15.2.3修补程序（HF）2中已经解决了这个问题。

SolarWinds还在其咨询中强调，该漏洞“与SUNBURST供应链攻击完全无关”，不会影响其他产品，尤其是猎户座平台，这是美国历史上最严重的安全漏洞之一，被怀疑是俄罗斯黑客的人利用该漏洞投放恶意软件并深入目标网络，监视多个联邦机构和企业。

从那时起，一系列软件供应链攻击凸显了现代网络的脆弱性，以及威胁行为体在识别广泛使用的软件中难以发现的漏洞以进行间谍活动和投放勒索软件方面的复杂性，黑客关闭商业系统，要求支付费用，以便重新获得控制权。