Microsoft reveló el miércoles los detalles de una nueva vulnerabilidad de seguridad en el software SolarWinds Serv-U que, según dijo, estaba siendo utilizada como arma por los atacantes para propagar ataques aprovechando las fallas de Log4j para comprometer objetivos.
El problema, identificado como CVE-2021-35247 (puntuación CVSS: 5,3), es una "vulnerabilidad de validación de entrada que podría permitir a los atacantes construir una consulta dada alguna entrada y enviar esa consulta a través de la red sin depurar", dijo el Centro de Inteligencia de Amenazas de Microsoft (MSTIC).
El fallo, que fue descubierto por el investigador de seguridad Jonathan Bar Or, afecta a las versiones 15.2.5 y anteriores de Serv-U, y se ha solucionado en la versión 15.3 de Serv-U.
"La pantalla de inicio de sesión web de Serv-U para la autenticación LDAP permitía caracteres que no estaban suficientemente depurados", dijo SolarWinds en un aviso, añadiendo que "actualizó el mecanismo de entrada para realizar una validación y depuración adicionales".
El fabricante de software de gestión de TI también señaló que "no se ha detectado ningún efecto descendente ya que los servidores LDAP ignoraron los caracteres inadecuados." No está claro de inmediato si los ataques detectados por Microsoft fueron meros intentos de explotar el fallo o si finalmente tuvieron éxito.
Los atacantes continúan aprovechando los defectos de Log4Shell para escanear en masa e infiltrarse en redes vulnerables para desplegar puertas traseras, mineros de monedas, ransomware y shells remotos que conceden acceso persistente para una actividad posterior a la explotación.
Los investigadores de Akamai, en un análisis publicado esta semana, también han encontrado pruebas de que se ha abusado de los fallos para infectar y ayudar a la proliferación del malware utilizado por la red de bots Mirai, apuntando a los dispositivos de red de Zyxel.
Además de esto, se ha observado previamente a un grupo de hackers con sede en China explotando una vulnerabilidad de seguridad crítica que afecta a SolarWinds Serv-U (CVE-2021-35211) para instalar programas maliciosos en las máquinas infectadas.
Fuente: https://thehackernews.com/2022/01/microsoft-hackers-exploiting-new.html