Lỗ hổng CVE-2021-35211 chỉ ảnh hưởng đến Serv-U Managed File Transfer và Serv-U Secure FTP (đây là phần mềm sử dụng để quản lý, kiểm soát việc chia sẻ tệp tin), được tìm thấy trong phiên bản Serv-U 15.2.3 HF1 mới nhất, phát hành vào ngày 05/5/2021 và tất cả các phiên bản Serv-U trước đó. Các sản phẩm SolarWinds hoặc N-able khác (trước đây là SolarWinds MSP), bao gồm nền tảng Orion không bị ảnh hưởng bởi lỗ hổng này.
Lỗ hổng được khai thác thông qua giao thức Secure Shell (SSH), đã có kẻ tấn công khai thác thành công lỗ hổng này, từ đó có thể chạy mã tùy ý với các đặc quyền, cho phép thực hiện một số hành động như cài đặt và chạy các chương trình độc hại hoặc xem, thay đổi và xóa dữ liệu trên hệ thống bị ảnh hưởng.
Hiện SolarWinds chưa ước tính được số lượng và danh tính những khách hàng bị ảnh hưởng trực tiếp bởi lỗ hổng. Ngoài ra, SolarWinds cho biết thêm, lỗ hổng mới này hoàn toàn không liên quan đến cuộc tấn công chuỗi cung ứng với phần mềm độc hại SUNBURST.
Theo Trung tâm giám sát an toàn không gian mạng quốc gia, tại Việt Nam có khoảng 700 hệ thống thông tin của các cơ quan tổ chức sử dụng SolarWinds, trong đó có nhiều hệ thống của tập đoàn, doanh nghiệp và công ty lớn.
SolarWinds phát hành và khuyến cáo người dùng Serv-U cập nhật ngay bản vá Serv-U 15.2.3 HF1 và Serv-U 15.2.3 HF2, các khách hàng của SolarWinds có thể đăng nhập vào Cổng thông tin khách hàng tại địa chỉ: https://customerportal.solarwinds.com để tìm kiếm và cài đặt các bản vá này.
Dưới đây là khuyến cáo được SolarWinds khuyên người dùng nên kiểm tra nhằm xác định hệ thống có bị xâm nhập hay không:
- Kiểm tra dịch vụ SSH, nếu dịch vụ này không được bật thì lỗ hổng bảo mật sẽ không tồn tại để những kẻ tấn công có thể khai thác được.
- Nếu có kết nối SSH từ các địa chỉ IP sau thì có nguy cơ tiềm ẩn bị tấn công:
- Ngoài ra người dùng cần để ý đến một số dấu hiệu khác như:
Khi bị khai thác, lỗ hổng sẽ khiến phần mềm Serv-U đưa ra một ngoại lệ và được ghi vào tệp nhật ký Serv-U là “DebugSocketlog.txt”. Tệp này có thể được tìm thấy thông qua hai đường dẫn sau:
Cần lưu ý rằng các ngoại lệ có thể xuất hiện vì một số lý do nào đó, vì vậy nó không nhất thiết có dấu hiệu của một cuộc tấn công. Tuy nhiên người dùng cũng nên kiểm tra tệp nhật ký của mình và xem xét kỹ càng các trường hợp ngoại lệ có thể sảy ra.
Kiểm tra các hoạt động Serv-U thông qua một số công cụ giám sát hoặc nền tảng EDR (Endpoint Detecttion and Response) của người dùng, đối với các chương trình con bất thường của Serv-U.exe, chẳng hạn như:
Đinh Hồng Đạt
Tổng hợp
21:00 | 07/03/2021
17:00 | 08/07/2021
15:00 | 12/08/2021
14:00 | 21/01/2021
09:00 | 18/08/2021
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
08:00 | 11/06/2024
Mới đây, các chuyên gia tại Zscaler (California) phát hiện ra hai ứng dụng có chứa mã độc Anatsa xuất hiện trên cửa hàng Google Play với tên gọi PDF Reader & File Manager và QR Reader & File Manager.
13:00 | 27/05/2024
Các nhà nghiên cứu tại công ty an ninh mạng ESET (Slovakia) cho biết các tin tặc Nga đã sử dụng hai backdoor Lunar mới có tên là LunarWeb và LunarMail để xâm phạm vào tổ chức ngoại giao của một chính phủ tại châu Âu.
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
10:00 | 04/10/2024