Microsoft heeft woensdag details bekendgemaakt van een nieuw beveiligingslek in SolarWinds Serv-U-software waarvan het zei dat het werd bewapend door bedreigingsactoren om aanvallen te verspreiden waarbij gebruik werd gemaakt van de Log4j-fouten om doelen te compromitteren.
Bijgehouden als CVE-2021-35247 (CVSS-score: 5.3), het probleem is een "kwetsbaarheid voor invoervalidatie waardoor aanvallers een query kunnen maken met enige invoer en die query zonder sanering via het netwerk kunnen verzenden", Microsoft Threat Intelligence Center (MSTIC) zei.
De fout, die werd ontdekt door beveiligingsonderzoeker Jonathan Bar Or, treft Serv-U-versies 15.2.5 en eerder en is verholpen in Serv-U versie 15.3.
"Het Serv-U-webinlogscherm voor LDAP-authenticatie stond tekens toe die niet voldoende waren opgeschoond", SolarWinds zei in een advies, toe te voegen dat het "het invoermechanisme heeft bijgewerkt om aanvullende validatie en opschoning uit te voeren."
De maker van IT-beheersoftware wees er ook op dat "er geen downstream-effect is gedetecteerd omdat de LDAP-servers onjuiste tekens negeerden." Het is niet meteen duidelijk of de door Microsoft gedetecteerde aanvallen louter pogingen waren om de fout te misbruiken of dat ze uiteindelijk succesvol waren.
De ontwikkeling komt omdat meerdere bedreigingsactoren blijven profiteren van de Log4Shell-fouten om kwetsbare netwerken massaal te scannen en te infiltreren voor het inzetten van achterdeurtjes, muntmijnwerkers, ransomware en externe shells die blijvende toegang verlenen voor verdere activiteiten na exploitatie.
Akamai-onderzoekers, in een analyse die deze week werden gepubliceerd, vonden ook bewijs dat de fouten worden misbruikt om malware te infecteren en te helpen bij de verspreiding van malware die wordt gebruikt door het Mirai-botnet.
Bovendien is eerder waargenomen dat een in China gevestigde hackgroep misbruik maakt van een kritieke beveiligingskwetsbaarheid die van invloed is op SolarWinds Serv-U (CVE-2021-35211) om kwaadaardige programma's op de geïnfecteerde machines te installeren.
Bron: https://thehackernews.com/2022/01/microsoft-hackers-exploiting-new.html
