微軟表示，在尋找 Log4j 漏洞時發(fā)現(xiàn)了 SolarWinds Serv-U 軟件先前未披露的問題。

Jonathan Bar Or在 Twitter 上解釋說，當(dāng)他在尋找 Log4j漏洞利用嘗試時，他注意到來自 serv-u.exe 的攻擊。 仔細觀察發(fā)現(xiàn)，可以向 Ssrv-U 提供數(shù)據(jù)，它會用你未經(jīng)處理的輸入構(gòu)建一個 LDAP 查詢!這可以用于 log4j 攻擊嘗試，也可以用于 LDAP 注入。

Solarwinds 立即響應(yīng)、調(diào)查并修復(fù)了。#vulnerability微軟后來發(fā)布了一篇關(guān)于這個問題的博客，被追蹤為 CVE-2021-35247，并表示這是一個“輸入驗證漏洞，它可能允許攻擊者在給定一些輸入的情況下構(gòu)建一個查詢，并在沒有衛(wèi)生條件的情況下通過網(wǎng)絡(luò)發(fā)送該查詢?！?/p>

SolarWinds在他們的咨詢中表示，LDAP 身份驗證的 Serv-U 網(wǎng)絡(luò)登錄屏幕允許未充分凈化的字符。

“SolarWinds 已更新輸入機制以執(zhí)行額外的驗證和清理。由于 LDAP 服務(wù)器忽略了不正確的字符，因此未檢測到下游影響”該公司表示，并補充說它會影響 15.2.5 和以前的版本。

NTT Application Security 的 Ray Kelly 說：“考慮到 SolarWinds 是在 之前影響數(shù)千名客戶的漏洞之后出現(xiàn)的，該漏洞令他感到驚訝和擔(dān)憂。 ”

“鑒于 Log4j 披露是在 12 月發(fā)布的，這個開源漏洞應(yīng)該是 SolarWinds 的重中之重。雖然 SolarWinds 似乎不易受到漏洞組件的利用，但它仍然不是您的軟件產(chǎn)品中需要的東西， ”Kelly說。

“大多數(shù)應(yīng)用程序安全產(chǎn)品都可以檢測到 Log4j 漏洞，使開發(fā)人員能夠快速識別和修復(fù)問題?！?/p>

微軟敦促客戶應(yīng)用 SolarWinds 公告中解釋的安全更新，并表示客戶可以使用他們的工具來識別和修復(fù)存在漏洞的設(shè)備。他們補充說，Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 還可以檢測與該活動相關(guān)的行為。

Netenrich 的 John Bambenek 補充說，微軟的警告和 SolarWinds 的快速響應(yīng)時間代表了需要如何處理漏洞的積極例子。 “這是我們需要的那種漏洞和研究合作，在這種情況下，一家能夠看到攻擊的大型科技公司與軟件公司聯(lián)系，并迅速將修復(fù)程序投入生產(chǎn)，”Bambenek說。