Os atacantes que procuram explorar vulnerabilidades log4j recentemente descobertas também estão tentando tirar vantagem de uma vulnerabilidade não revelada anteriormente no software SolarWinds Serv-U (CVE-2021-35247).
Ele afeta a versão 15.2.5 e as versões anteriores do Serv-U, e foi corrigido pelo SolarWinds na versão 15.3.
Sobre cve-2021-35247
CVE-2021-35247 é uma vulnerabilidade de validação de entrada na tela de login web do Serv-U File Server que poderia permitir que os invasores construíssem uma consulta depois de receber alguma entrada e enviar essa consulta pela rede sem saneamento.
“Ao caçar a tentativa de exploração log4j, notei ataques vindos de serv-u.exe. Tomando uma olhada mais de perto revelou que você poderia alimentar o Serv-U com dados e ele vai construir uma consulta LDAP com sua entrada não-insalaturada! Isso pode ser usado para tentativas de ataque log4j, mas também para injeção de LDAP”, compartilhou o pesquisador de segurança da Microsoft Jonathan Bar Or.
De acordo com a assessoria de segurançada SolarWinds, a vulnerabilidade foi corrigida atualizando o mecanismo de entrada para realizar validação e higienização adicionais.
“Nenhum efeito a jusante foi detectado à medida que os servidores LDAP ignoraram caracteres inadequados”, observou a empresa, aparentemente refutando a última conclusão do pesquisador da Microsoft.
A Microsoft não disse se os atacantes foram bem sucedidos na exploração do CVE-2021-35247, mas pediu aos clientes que apliquem atualizações de segurança a dispositivos vulneráveis.
Esta é a segunda vulnerabilidade serv-u detectada nos últimos seis meses sendo explorada na natureza. A anterior foi uma falhadeexecução de código remoto de zero-day (CVE-2021-35211), e sua exploração foi atribuída pela Microsoft a um grupo de ataque com sede na China que atingiu entidades do setor de base industrial de defesa dos EUA e empresas de software.
ATUALIZAÇÃO: Sexta-feira, 21 de janeiro, 01:25 PT
Um porta-voz da SolarWinds entrou em contato com o seguinte comentário:
“A atividade a que a Microsoft se referia em seu relatório estava relacionada a um ator de ameaças que tentava fazer login no Serv-U usando a vulnerabilidade Log4J, mas essa tentativa falhou, pois o Serv-U não utiliza o código Log4J e o alvo para autenticação LDAP (Microsoft Active Directory) não é suscetível a ataques do Log4J.”
FONTE: HELPNET SECURITY