Lỗ hổng CVE-2021-35211 chỉ ảnh hưởng đến Serv-U Managed File Transfer và Serv-U Secure FTP (đây là phần mềm sử dụng để quản lý, kiểm soát việc chia sẻ tệp tin), được tìm thấy trong phiên bản Serv-U 15.2.3 HF1 mới nhất, phát hành vào ngày 05/5/2021 và tất cả các phiên bản Serv-U trước đó. Các sản phẩm SolarWinds hoặc N-able khác (trước đây là SolarWinds MSP), bao gồm nền tảng Orion không bị ảnh hưởng bởi lỗ hổng này.
Lỗ hổng được khai thác thông qua giao thức Secure Shell (SSH), đã có kẻ tấn công khai thác thành công lỗ hổng này, từ đó có thể chạy mã tùy ý với các đặc quyền, cho phép thực hiện một số hành động như cài đặt và chạy các chương trình độc hại hoặc xem, thay đổi và xóa dữ liệu trên hệ thống bị ảnh hưởng.
Hiện SolarWinds chưa ước tính được số lượng và danh tính những khách hàng bị ảnh hưởng trực tiếp bởi lỗ hổng. Ngoài ra, SolarWinds cho biết thêm, lỗ hổng mới này hoàn toàn không liên quan đến cuộc tấn công chuỗi cung ứng với phần mềm độc hại SUNBURST.
Theo Trung tâm giám sát an toàn không gian mạng quốc gia, tại Việt Nam có khoảng 700 hệ thống thông tin của các cơ quan tổ chức sử dụng SolarWinds, trong đó có nhiều hệ thống của tập đoàn, doanh nghiệp và công ty lớn.
SolarWinds phát hành và khuyến cáo người dùng Serv-U cập nhật ngay bản vá Serv-U 15.2.3 HF1 và Serv-U 15.2.3 HF2, các khách hàng của SolarWinds có thể đăng nhập vào Cổng thông tin khách hàng tại địa chỉ: https://customerportal.solarwinds.com để tìm kiếm và cài đặt các bản vá này.
Dưới đây là khuyến cáo được SolarWinds khuyên người dùng nên kiểm tra nhằm xác định hệ thống có bị xâm nhập hay không:
- Kiểm tra dịch vụ SSH, nếu dịch vụ này không được bật thì lỗ hổng bảo mật sẽ không tồn tại để những kẻ tấn công có thể khai thác được.
- Nếu có kết nối SSH từ các địa chỉ IP sau thì có nguy cơ tiềm ẩn bị tấn công:
- Ngoài ra người dùng cần để ý đến một số dấu hiệu khác như:
Khi bị khai thác, lỗ hổng sẽ khiến phần mềm Serv-U đưa ra một ngoại lệ và được ghi vào tệp nhật ký Serv-U là “DebugSocketlog.txt”. Tệp này có thể được tìm thấy thông qua hai đường dẫn sau:
Cần lưu ý rằng các ngoại lệ có thể xuất hiện vì một số lý do nào đó, vì vậy nó không nhất thiết có dấu hiệu của một cuộc tấn công. Tuy nhiên người dùng cũng nên kiểm tra tệp nhật ký của mình và xem xét kỹ càng các trường hợp ngoại lệ có thể sảy ra.
Kiểm tra các hoạt động Serv-U thông qua một số công cụ giám sát hoặc nền tảng EDR (Endpoint Detecttion and Response) của người dùng, đối với các chương trình con bất thường của Serv-U.exe, chẳng hạn như:
Đinh Hồng Đạt
Tổng hợp
21:00 | 07/03/2021
17:00 | 08/07/2021
14:00 | 21/01/2021
15:00 | 12/08/2021
09:00 | 18/08/2021
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024