IT-Administratoren, deren Unternehmen die Dateiübertragungsanwendung SolarWinds Serv-U verwenden, werden aufgefordert, das Update zu installieren, wenn eine Schwachstelle identifiziert wird.
Microsoft, das den Fehler entdeckt hat (CVE-2021-35247) beschrieb es als eine „Angriffsauthentifizierungs-Schwachstelle, die es Angreifern ermöglichen könnte, eine Abfrage basierend auf einer bestimmten Eingabe zu erstellen und diese Abfrage über ein Netzwerk ohne Bereinigung zu senden“.
Die Entdeckung kam, als Microsoft während der laufenden Bedrohungsüberwachung verdächtige Angriffe sah, die versuchten, Log4j2-Schwachstellen auszunutzen.
SolarWinds hat ein Update veröffentlicht für Serv-U, Version 15.3, beheben Sie den Fehler. Er sagte, dass der Serv-U-Anmeldebildschirm für die LDAP-Authentifizierung Zeichen zulässt, die nicht ausreichend desinfiziert wurden. Der Patch aktualisiert den Eingabemechanismus, um eine zusätzliche Überprüfung und Desinfektion durchzuführen.
„Es wurde keine Konsequenz gefunden, da die LDAP-Server die unangemessenen Zeichen ignorierten“, fügte SolarWinds hinzu.
ERKLÄRUNG: SolarWinds sagte, dass ein Microsoft-Bericht einen Bedrohungsakteur beschrieb, der versuchte, sich mit einer Log4j-Schwachstelle bei Serv-U anzumelden, aber dieser Versuch fehlschlug, weil Serv-U keinen Log4j-Code verwendet.
Separat, entdeckte ein Forscher in Akamai Beweise in der erfassten Binärdatei, dass das Mirai-Botnetz versucht, eine Log4j2-Schwachstelle in von Zyxel hergestellten Netzwerkgeräten auszunutzen.
Er fügte jedoch hinzu, dass der LDAP-Server, auf dem der Exploit gehostet wurde, nicht mehr aktiv war, als die Forscher versuchten, die Java-Payload-Klasse herunterzuladen.
„Es kann sein, dass Zyxel gezielt ins Visier genommen wurde, weil sie es taten hat einen Blog mit einer Erklärung gepostet von log4j-Schwachstellen betroffen waren“, so Blog-Autor Larry Cashdollar. Von all seinen Produkten ist nur das NetAtlas Element Management System des Unternehmens anfällig. Zyxel hat den Hotfix am 20. Dezember 2021 veröffentlicht und vollständige Fixes werden Ende Februar verfügbar sein.
„Das Interessante an dieser Malware ist, dass diese Payload ausgeführt werden kann, wenn Sie über automatische Tools zum Extrahieren von Zeichenfolgen für Malware-Beispiele verfügen, die sich bei einer anfälligen Log4j-Instanz anmelden“, fügte er hinzu. „Wenn Sie dies tun, kann es je nach Ihren Einstellungen Ihr Malware-Analysesystem infizieren. Auch hier ist das Patchen Ihrer anfälligen Systeme der Schlüssel zum Schutz Ihrer Server vor Kompromittierungen.“