Microsoft: Penyerang Mencoba Masuk ke SolarWinds Serv-U Melalui Bug Log4j

Attackers mencoba masuk ke perangkat lunak berbagi file SolarWinds Serv-U melalui serangan yang mengeksploitasi kelemahan Log4j.

Ini adalah cerita yang membingungkan: Awalnya, Microsoft telah memperingatkan pada hari Rabu bahwa penyerang mengeksploitasi kerentanan yang sebelumnya tidak diungkapkan dalam file SolarWinds Serv-U -berbagi perangkat lunak untuk menyebarkan serangan Log4j terhadap perangkat internal jaringan melalui bug SolarWinds.

SolarWinds telah mengeluarkan perbaikan sehari sebelumnya, pada hari Selasa.

SolarWinds kemudian menghubungi Threatpost dan outlet berita lainnya pada hari Kamis untuk mengklarifikasi bahwa laporan Microsoft merujuk pada ancaman aktor mencoba masuk ke Serv-U menggunakan kerentanan Log4j. Upaya tersebut gagal, karena Serv-U tidak menggunakan kode Log4j dan target autentikasi – LDAP (Microsoft Active Directory) – tidak rentan terhadap serangan Log4j.

Kerentanan SolarWinds, dilacak sebagai CVE-2021-35247, adalah cacat validasi input yang memungkinkan penyerang membuat kueri, memberikan beberapa masukan, dan mengirim kueri itu melalui jaringan tanpa sanitasi, kata Pusat Intelijen Ancaman Microsoft (MSTIC).

Bug, ditemukan oleh Microsoft’s Jonathan Bar Or, mempengaruhi Serv-U versi 15.2.5 dan sebelumnya. SolarWinds memperbaiki kerentanan di Serv-U versi 15.3, dirilis pada hari Selasa.

“Layar masuk web Serv-U ke otentikasi LDAP memungkinkan karakter yang tidak cukup dibersihkan,” kata SolarWinds dalam penasehatnya, menambahkan bahwa itu telah memperbarui input mekanisme “untuk melakukan validasi dan sanitasi tambahan.”

Peneliti keamanan Microsoft Jonathan Bar Or, dikreditkan dengan menemukan bug, menjelaskan bahwa dia telah melihat serangan yang datang dari serv-u.exe saat mencari upaya eksploitasi log4j. “Melihat lebih dekat, terungkap bahwa Anda dapat memberi makan Serv-U dengan data dan itu akan membuat kueri LDAP dengan input Anda yang tidak bersih!” dia berkata. “Ini dapat digunakan untuk upaya serangan log4j, tetapi juga untuk injeksi LDAP.” Perwakilan SolarWinds
A mengatakan kepada Threatpost bahwa penyerang tidak dapat masuk ke Serv-U, dan bahwa peneliti Microsoft merujuk upaya masuk yang gagal, karena Serv -U tidak memanfaatkan kode Log4J.
SolarWinds mengatakan bahwa mereka belum melihat “[efek] hilir” bug, mengingat bahwa “server LDAP mengabaikan karakter yang tidak tepat.”

Untuk bagiannya, MSTIC tidak memberikan detail tentang serangan yang diamati.

Hanya yang Terbaru di Log4j Barrage

Serv-U terbaru dalam upaya eksploitasi Log4j yang merajalela dan pengujian yang telah dilakukan pada beberapa kelemahan di perpustakaan logging Log4j Apache sejak kelemahan tersebut diungkapkan – dan berada di bawah serangan hampir-langsung – bulan lalu.

Pada hari Selasa, peneliti Akamai juga melaporkan bahwa mereka telah mendeteksi bukti kerentanan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi di Log4j – dilacak sebagai CVE-2021-4422 8 – diadaptasi untuk menginfeksi dan membantu proliferasi malware yang digunakan oleh botnet Mirai dengan menargetkan perangkat jaringan Zyxel.

MSTIC sangat menyarankan agar pelanggan yang terpengaruh menerapkan pembaruan keamanan SolarWinds.
Tulis komentar
Bagikan artikel ini:

  • Kerentananliu
      iKeamanan Web