微软表示,在寻找 Log4j 漏洞时发现了 SolarWinds Serv-U 软件先前未披露的问题。
Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。
研究人员解释说,他在寻找 Log4j漏洞利用尝试时,他注意到来自 serv-u.exe 的攻击。 仔细观察发现,可以向 Ssrv-U 提供数据,它会用你未经处理的输入构建一个 LDAP 查询!这可以用于 log4j 攻击尝试,也可以用于 LDAP 注入。
Solarwinds 立即响应、调查并修复了。#vulnerability微软后来发布了一篇关于这个问题的博客,被追踪为 CVE-2021-35247,并表示这是一个“输入验证漏洞,它可能允许攻击者在给定一些输入的情况下构建一个查询,并在没有卫生条件的情况下通过网络发送该查询。”
在接下来的几周中,该实用程序的另外四个弱点被曝光——CVE-2021-45046、CVE-2021-45105、CVE-2021-4104和CVE-2021-44832——为投机取巧的恶意行为者提供了持续控制受感染的机器并发起一系列不断发展的攻击,从加密货币矿工到勒索软件。
即使大规模扫描尝试没有停止的迹象,但仍在努力通过混淆恶意 HTTP 请求来逃避字符串匹配检测,该请求使用 Log4j 来生成 Web 请求日志,该日志利用 JNDI 执行对攻击者控制的请求地点。
此外,微软表示,它观察到“该漏洞迅速被利用到 Mirai 等现有僵尸网络中,之前针对易受攻击的 Elasticsearch 系统部署加密货币矿工的现有活动,以及将海啸后门部署到 Linux 系统的活动。”
最重要的是,Log4Shell 漏洞还被用于删除其他远程访问工具包和反向 shell,例如Meterpreter、Bladabindi(又名 NjRAT)和HabitsRAT。
MSTIC 指出:“此时,客户应该假设漏洞利用代码和扫描功能的广泛可用性对其环境构成真实存在的危险。” “由于受到影响的许多软件和服务以及更新的速度,预计这将有很长的补救措施,需要持续、可持续的警惕。”
与此同时,美国联邦贸易委员会 (FTC)发出警告称,它“打算利用其全部法律权力追查未能采取合理措施保护消费者数据免于因 Log4j 或类似已知问题而暴露的公司。未来的漏洞。
翻译自:thehackernews
领取优惠
提交成功!