Lỗ hổng CVE-2021-35211 chỉ ảnh hưởng đến Serv-U Managed File Transfer và Serv-U Secure FTP (đây là phần mềm sử dụng để quản lý, kiểm soát việc chia sẻ tệp tin), được tìm thấy trong phiên bản Serv-U 15.2.3 HF1 mới nhất, phát hành vào ngày 05/5/2021 và tất cả các phiên bản Serv-U trước đó. Các sản phẩm SolarWinds hoặc N-able khác (trước đây là SolarWinds MSP), bao gồm nền tảng Orion không bị ảnh hưởng bởi lỗ hổng này.
Lỗ hổng được khai thác thông qua giao thức Secure Shell (SSH), đã có kẻ tấn công khai thác thành công lỗ hổng này, từ đó có thể chạy mã tùy ý với các đặc quyền, cho phép thực hiện một số hành động như cài đặt và chạy các chương trình độc hại hoặc xem, thay đổi và xóa dữ liệu trên hệ thống bị ảnh hưởng.
Hiện SolarWinds chưa ước tính được số lượng và danh tính những khách hàng bị ảnh hưởng trực tiếp bởi lỗ hổng. Ngoài ra, SolarWinds cho biết thêm, lỗ hổng mới này hoàn toàn không liên quan đến cuộc tấn công chuỗi cung ứng với phần mềm độc hại SUNBURST.
Theo Trung tâm giám sát an toàn không gian mạng quốc gia, tại Việt Nam có khoảng 700 hệ thống thông tin của các cơ quan tổ chức sử dụng SolarWinds, trong đó có nhiều hệ thống của tập đoàn, doanh nghiệp và công ty lớn.
SolarWinds phát hành và khuyến cáo người dùng Serv-U cập nhật ngay bản vá Serv-U 15.2.3 HF1 và Serv-U 15.2.3 HF2, các khách hàng của SolarWinds có thể đăng nhập vào Cổng thông tin khách hàng tại địa chỉ: https://customerportal.solarwinds.com để tìm kiếm và cài đặt các bản vá này.
Dưới đây là khuyến cáo được SolarWinds khuyên người dùng nên kiểm tra nhằm xác định hệ thống có bị xâm nhập hay không:
- Kiểm tra dịch vụ SSH, nếu dịch vụ này không được bật thì lỗ hổng bảo mật sẽ không tồn tại để những kẻ tấn công có thể khai thác được.
- Nếu có kết nối SSH từ các địa chỉ IP sau thì có nguy cơ tiềm ẩn bị tấn công:
- Ngoài ra người dùng cần để ý đến một số dấu hiệu khác như:
Khi bị khai thác, lỗ hổng sẽ khiến phần mềm Serv-U đưa ra một ngoại lệ và được ghi vào tệp nhật ký Serv-U là “DebugSocketlog.txt”. Tệp này có thể được tìm thấy thông qua hai đường dẫn sau:
Cần lưu ý rằng các ngoại lệ có thể xuất hiện vì một số lý do nào đó, vì vậy nó không nhất thiết có dấu hiệu của một cuộc tấn công. Tuy nhiên người dùng cũng nên kiểm tra tệp nhật ký của mình và xem xét kỹ càng các trường hợp ngoại lệ có thể sảy ra.
Kiểm tra các hoạt động Serv-U thông qua một số công cụ giám sát hoặc nền tảng EDR (Endpoint Detecttion and Response) của người dùng, đối với các chương trình con bất thường của Serv-U.exe, chẳng hạn như:
Đinh Hồng Đạt
Tổng hợp
21:00 | 07/03/2021
17:00 | 08/07/2021
14:00 | 21/01/2021
15:00 | 12/08/2021
09:00 | 18/08/2021
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
10:00 | 22/11/2023
Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024