Hôm thứ Tư, Microsoft đã tiết lộ chi tiết về một lỗ hổng bảo mật mới trong phần mềm SolarWinds Serv-U mà họ cho rằng đã được vũ khí hóa bởi các tác nhân đe dọa để tuyên truyền các cuộc tấn công lợi dụng lỗ hổng Log4j để xâm phạm mục tiêu.
Được theo dõi là CVE-2021-35247 (điểm CVSS: 5,3), vấn đề là “lỗ hổng xác thực đầu vào có thể cho phép kẻ tấn công tạo truy vấn được cung cấp một số đầu vào và gửi truy vấn đó qua mạng mà không cần vệ sinh”, Microsoft Threat Intelligence Center (MSTIC ) nói.
Lỗ hổng, được phát hiện bởi nhà nghiên cứu bảo mật Jonathan Bar Or, ảnh hưởng đến Serv-U phiên bản 15.2.5 trở về trước và đã được giải quyết trong Serv-U phiên bản 15.3.
“Màn hình đăng nhập web Serv-U để xác thực LDAP đang cho phép các ký tự chưa được làm sạch đầy đủ”, SolarWinds cho biết trong một lời khuyên và thêm vào đó “đã cập nhật cơ chế đầu vào để thực hiện xác thực và khử trùng bổ sung.”
Nhà sản xuất phần mềm quản lý CNTT cũng chỉ ra rằng “không phát hiện thấy hiệu ứng hạ nguồn nào do máy chủ LDAP bỏ qua các ký tự không phù hợp.” Không rõ ngay lập tức các cuộc tấn công được phát hiện bởi Microsoft chỉ là nỗ lực khai thác lỗ hổng hay cuối cùng chúng đã thành công.
Sự phát triển diễn ra khi nhiều tác nhân đe dọa tiếp tục lợi dụng các lỗ hổng của Log4Shell để quét hàng loạt và xâm nhập vào các mạng dễ bị tấn công để triển khai backdoor, công cụ khai thác tiền xu, ransomware và shell từ xa cấp quyền truy cập liên tục cho các hoạt động sau khai thác tiếp theo.
Các nhà nghiên cứu của Akamai, trong một phân tích được công bố trong tuần này, cũng tìm thấy bằng chứng về việc các lỗ hổng đã bị lạm dụng để lây nhiễm và hỗ trợ sự gia tăng của phần mềm độc hại được sử dụng bởi botnet Mirai bằng cách nhắm mục tiêu vào các thiết bị mạng Zyxel.
Trên hết, một nhóm tấn công có trụ sở tại Trung Quốc trước đây đã được quan sát khai thác lỗ hổng bảo mật quan trọng ảnh hưởng đến SolarWinds Serv-U (CVE-2021-35211) để cài đặt các chương trình độc hại trên các máy bị nhiễm.
.
