黑客试图利用Log4Shell攻击中的新SolarWinds Serv-U漏洞进行攻击

微软周三披露了SolarWinds Serv-U软件中一个新的安全漏洞的详细信息，称该软件正被威胁行为体武器化，以传播利用Log4j漏洞危害目标的攻击。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）表示，该问题被追踪为CVE-2021-35247（CVSS分数：5.3），是一个“输入验证漏洞，允许攻击者在给定一些输入的情况下构建查询，并在没有卫生设施的情况下通过网络发送该查询”。

该漏洞由安全研究人员Jonathan Bar或发现，影响Serv-U版本15.2.5及之前版本，并已在Serv-U版本15.3中解决。

SolarWinds在一份建议中说，“LDAP身份验证的Serv-U web登录屏幕允许未充分消毒的字符，”并补充说它“更新了输入机制，以执行额外的验证和消毒。”

这家IT管理软件制造商还指出，“由于LDAP服务器忽略了不正确的字符，因此未检测到下游影响。”目前尚不清楚微软检测到的攻击是否仅仅是试图利用该漏洞，还是最终成功。

随着多个威胁参与者继续利用Log4Shell漏洞进行大规模扫描，并渗透到易受攻击的网络，以部署后门、投币矿工、勒索软件和远程外壳，从而为进一步的剥削后活动提供持久访问权限。

Akamai研究人员在本周发布的一份分析中还发现了漏洞被滥用的证据，这些漏洞通过针对Zyxel网络设备来感染并协助Mirai僵尸网络使用的恶意软件的扩散。

除此之外，之前还观察到一个总部位于中国的黑客组织利用影响SolarWinds Serv-U（CVE-2021-35211）的关键安全漏洞，在受感染的机器上安装恶意程序。

更新：在与《黑客新闻》分享的一份声明中，SolarWinds指出，其Serv-U软件在Log4j攻击中未被利用，并试图通过利用Log4j漏洞的攻击登录SolarWinds Serv-U文件共享软件。

“微软在报告中提到的活动与一名威胁参与者试图使用Log4j漏洞登录Serv-U有关，但该尝试失败，因为Serv-U不使用Log4j代码，身份验证目标LDAP（Microsoft Active Directory）不易受到Log4j攻击，”该公司发言人说。

虽然这与微软最初披露的攻击者利用SolarWinds Serv-U托管文件传输服务中之前未公开的漏洞传播Log4j攻击的说法直接矛盾，但由于软件中不存在易受攻击的Log4j代码，这些尝试最终失败。

（为了澄清Serv-U不易受Log4Shell攻击的攻击，对该报道进行了修改。）