Microsoft reveló el miércoles detalles de una nueva vulnerabilidad de seguridad en el software SolarWinds Serv-U que, según dijo, estaba siendo armado por actores de amenazas para propagar ataques que aprovechaban las fallas de Log4j para comprometer objetivos.
Rastreado como CVE-2021-35247 (puntaje CVSS: 5.3), el problema es una “vulnerabilidad de validación de entrada que podría permitir a los atacantes crear y enviar una consulta a través de la red”, dijo Microsoft Threat Intelligence Center (MSTIC).
La falla, que fue descubierta por el investigador de seguridad Jonathan Bar Or, afecta a las versiones 15.2.5 y anteriores de Serv-U, y se solucionó en la versión 15.3 de Serv-U.
“La pantalla de inicio de sesión web de Serv-U para la autenticación LDAP permitía caracteres que no estaban lo suficientemente sanitizados”, dijo SolarWinds en un aviso, y agregó que “actualizó el mecanismo de entrada para realizar una validación y limpieza adicionales”.
El fabricante de software de administración de TI también señaló que “no se ha detectado ningún efecto descendente ya que los servidores LDAP ignoran los caracteres incorrectos”. No está claro de inmediato si los ataques detectados por Microsoft fueron meros intentos de explotar la falla o si finalmente tuvieron éxito.
El desarrollo se produce cuando varios actores de amenazas continúan aprovechándose de las fallas de Log4Shell para escanear en masa e infiltrarse en redes vulnerables para implementar puertas traseras, mineros de monedas, ransomware y shells remotos que otorgan acceso persistente para una mayor actividad posterior a la explotación.
Los investigadores de Akamai, en un análisis publicado esta semana, también encontraron evidencia del abuso de las fallas para infectar y ayudar en la proliferación de malware utilizado por la botnet Mirai.
Además de esto, se observó previamente que un grupo de delincuentes informáticos con sede en China explota otra vulnerabilidad de seguridad crítica que afecta a SolarWinds Serv-U (CVE-2021-35211) para instalar programas maliciosos en las máquinas infectadas.
Fuente: THN