Hôm thứ Tư, Microsoft đã tiết lộ chi tiết về một lỗ hổng bảo mật mới trong phần mềm SolarWinds Serv-U mà họ cho rằng đã được vũ khí hóa bởi các tác nhân đe dọa để tuyên truyền các cuộc tấn công lợi dụng lỗ hổng Log4j để xâm phạm mục tiêu.
Theo dõi như CVE-2021-35247 (Điểm CVSS: 5.3), vấn đề là một "lỗ hổng xác thực đầu vào có thể cho phép những kẻ tấn công tạo một truy vấn được cung cấp một số đầu vào và gửi truy vấn đó qua mạng mà không cần vệ sinh", Microsoft Threat Intelligence Center (MSTIC) nói.
Lỗ hổng, được phát hiện bởi nhà nghiên cứu bảo mật Jonathan Bar Or, ảnh hưởng đến Serv-U phiên bản 15.2.5 trở về trước và đã được giải quyết trong Serv-U phiên bản 15.3.
“Màn hình đăng nhập web Serv-U để xác thực LDAP đang cho phép các ký tự chưa được làm sạch đầy đủ,” SolarWinds nói trong một lời khuyên, thêm vào đó là "đã cập nhật cơ chế đầu vào để thực hiện xác nhận và vệ sinh bổ sung."
Nhà sản xuất phần mềm quản lý CNTT cũng chỉ ra rằng "không phát hiện thấy hiệu ứng hạ nguồn nào do máy chủ LDAP bỏ qua các ký tự không phù hợp." Không rõ ngay lập tức các cuộc tấn công được phát hiện bởi Microsoft chỉ là nỗ lực khai thác lỗ hổng hay cuối cùng chúng đã thành công.
Sự phát triển diễn ra khi nhiều tác nhân đe dọa tiếp tục tận dụng lợi thế của Lỗ hổng của Log4Shell để quét hàng loạt và xâm nhập vào các mạng dễ bị tấn công để triển khai backdoor, công cụ khai thác tiền xu, ransomware và shell từ xa cấp quyền truy cập liên tục cho các hoạt động sau khai thác tiếp theo.
Các nhà nghiên cứu Akamai, trong một phân tích được công bố trong tuần này, cũng đã tìm thấy bằng chứng về việc các lỗ hổng đã bị lạm dụng để lây nhiễm và hỗ trợ sự gia tăng của phần mềm độc hại được sử dụng bởi botnet Mirai.
Trên hết, một nhóm hack có trụ sở tại Trung Quốc trước đây đã được quan sát khai thác một lỗ hổng bảo mật quan trọng ảnh hưởng đến SolarWinds Serv-U (CVE-2021-35211) để cài đặt các chương trình độc hại trên máy bị nhiễm.
Nguồn: https://thehackernews.com/2022/01/microsoft-hackers-exploiting-new.html
