El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) informó el martes que el software SolarWinds fue atacado con un exploit de día cero por un grupo de piratas informáticos al que llama “DEV-0322”. Los piratas informáticos apuntaron al software SolarWinds FTP Serv-U, con el supuesto objetivo de acceder a los clientes de la empresa en la industria de defensa de EE. UU.

El ataque de día cero se detectó por primera vez en un análisis de rutina de Microsoft 365 Defender. El software notó un “proceso malicioso anómalo” que Microsoft explica con más detalle en su blog, pero parece que los piratas informáticos intentaban convertirse en administradores de Serv-U, entre otras actividades sospechosas.

SolarWinds informó sobre el exploit de día cero el viernes 9 de julio, y explicó que todas las versiones de Serv-U desde el 5 de mayo y anteriores contenían la vulnerabilidad. La compañía lanzó una revisión para abordar el problema y desde entonces se ha parcheado el exploit, pero Microsoft escribe que si el protocolo Secure Shell (SSH) de Serv-U estuviera conectado a Internet, los piratas informáticos podrían “ejecutar remotamente código arbitrario con privilegios, lo que les permite realizar acciones como instalar y ejecutar cargas útiles maliciosas o ver y cambiar datos. “Se recomienda a cualquier persona que ejecute un software Serv-U antiguo que lo actualice lo antes posible.

El primer truco que puso a SolarWinds en el centro de atención en diciembre de 2020 expuso a cientos de agencias gubernamentales y empresas. A diferencia del hack anterior, que ahora está ampliamente conectado a un grupo de hackers afiliado al estado ruso llamado Cozy Bear, Microsoft dice que este ataque de día cero se originó en China. DEV-0322 se ha acostumbrado a apuntar a “entidades en el Sector de Base Industrial de Defensa de Estados Unidos”, escribe Microsoft, y es conocido por “utilizar soluciones VPN comerciales y enrutadores de consumidores comprometidos en su infraestructura de atacantes”.