Lỗ hổng CVE-2021-35211 chỉ ảnh hưởng đến Serv-U Managed File Transfer và Serv-U Secure FTP (đây là phần mềm sử dụng để quản lý, kiểm soát việc chia sẻ tệp tin), được tìm thấy trong phiên bản Serv-U 15.2.3 HF1 mới nhất, phát hành vào ngày 05/5/2021 và tất cả các phiên bản Serv-U trước đó. Các sản phẩm SolarWinds hoặc N-able khác (trước đây là SolarWinds MSP), bao gồm nền tảng Orion không bị ảnh hưởng bởi lỗ hổng này.
Lỗ hổng được khai thác thông qua giao thức Secure Shell (SSH), đã có kẻ tấn công khai thác thành công lỗ hổng này, từ đó có thể chạy mã tùy ý với các đặc quyền, cho phép thực hiện một số hành động như cài đặt và chạy các chương trình độc hại hoặc xem, thay đổi và xóa dữ liệu trên hệ thống bị ảnh hưởng.
Hiện SolarWinds chưa ước tính được số lượng và danh tính những khách hàng bị ảnh hưởng trực tiếp bởi lỗ hổng. Ngoài ra, SolarWinds cho biết thêm, lỗ hổng mới này hoàn toàn không liên quan đến cuộc tấn công chuỗi cung ứng với phần mềm độc hại SUNBURST.
Theo Trung tâm giám sát an toàn không gian mạng quốc gia, tại Việt Nam có khoảng 700 hệ thống thông tin của các cơ quan tổ chức sử dụng SolarWinds, trong đó có nhiều hệ thống của tập đoàn, doanh nghiệp và công ty lớn.
SolarWinds phát hành và khuyến cáo người dùng Serv-U cập nhật ngay bản vá Serv-U 15.2.3 HF1 và Serv-U 15.2.3 HF2, các khách hàng của SolarWinds có thể đăng nhập vào Cổng thông tin khách hàng tại địa chỉ: https://customerportal.solarwinds.com để tìm kiếm và cài đặt các bản vá này.
Dưới đây là khuyến cáo được SolarWinds khuyên người dùng nên kiểm tra nhằm xác định hệ thống có bị xâm nhập hay không:
- Kiểm tra dịch vụ SSH, nếu dịch vụ này không được bật thì lỗ hổng bảo mật sẽ không tồn tại để những kẻ tấn công có thể khai thác được.
- Nếu có kết nối SSH từ các địa chỉ IP sau thì có nguy cơ tiềm ẩn bị tấn công:
- Ngoài ra người dùng cần để ý đến một số dấu hiệu khác như:
Khi bị khai thác, lỗ hổng sẽ khiến phần mềm Serv-U đưa ra một ngoại lệ và được ghi vào tệp nhật ký Serv-U là “DebugSocketlog.txt”. Tệp này có thể được tìm thấy thông qua hai đường dẫn sau:
Cần lưu ý rằng các ngoại lệ có thể xuất hiện vì một số lý do nào đó, vì vậy nó không nhất thiết có dấu hiệu của một cuộc tấn công. Tuy nhiên người dùng cũng nên kiểm tra tệp nhật ký của mình và xem xét kỹ càng các trường hợp ngoại lệ có thể sảy ra.
Kiểm tra các hoạt động Serv-U thông qua một số công cụ giám sát hoặc nền tảng EDR (Endpoint Detecttion and Response) của người dùng, đối với các chương trình con bất thường của Serv-U.exe, chẳng hạn như:
Đinh Hồng Đạt
Tổng hợp
21:00 | 07/03/2021
17:00 | 08/07/2021
14:00 | 21/01/2021
15:00 | 12/08/2021
09:00 | 18/08/2021
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
10:00 | 07/05/2024