Lỗ hổng CVE-2021-35211 chỉ ảnh hưởng đến Serv-U Managed File Transfer và Serv-U Secure FTP (đây là phần mềm sử dụng để quản lý, kiểm soát việc chia sẻ tệp tin), được tìm thấy trong phiên bản Serv-U 15.2.3 HF1 mới nhất, phát hành vào ngày 05/5/2021 và tất cả các phiên bản Serv-U trước đó. Các sản phẩm SolarWinds hoặc N-able khác (trước đây là SolarWinds MSP), bao gồm nền tảng Orion không bị ảnh hưởng bởi lỗ hổng này.
Lỗ hổng được khai thác thông qua giao thức Secure Shell (SSH), đã có kẻ tấn công khai thác thành công lỗ hổng này, từ đó có thể chạy mã tùy ý với các đặc quyền, cho phép thực hiện một số hành động như cài đặt và chạy các chương trình độc hại hoặc xem, thay đổi và xóa dữ liệu trên hệ thống bị ảnh hưởng.
Hiện SolarWinds chưa ước tính được số lượng và danh tính những khách hàng bị ảnh hưởng trực tiếp bởi lỗ hổng. Ngoài ra, SolarWinds cho biết thêm, lỗ hổng mới này hoàn toàn không liên quan đến cuộc tấn công chuỗi cung ứng với phần mềm độc hại SUNBURST.
Theo Trung tâm giám sát an toàn không gian mạng quốc gia, tại Việt Nam có khoảng 700 hệ thống thông tin của các cơ quan tổ chức sử dụng SolarWinds, trong đó có nhiều hệ thống của tập đoàn, doanh nghiệp và công ty lớn.
SolarWinds phát hành và khuyến cáo người dùng Serv-U cập nhật ngay bản vá Serv-U 15.2.3 HF1 và Serv-U 15.2.3 HF2, các khách hàng của SolarWinds có thể đăng nhập vào Cổng thông tin khách hàng tại địa chỉ: //customerportal.solarwinds.com để tìm kiếm và cài đặt các bản vá này.
Dưới đây là khuyến cáo được SolarWinds khuyên người dùng nên kiểm tra nhằm xác định hệ thống có bị xâm nhập hay không:
- Kiểm tra dịch vụ SSH, nếu dịch vụ này không được bật thì lỗ hổng bảo mật sẽ không tồn tại để những kẻ tấn công có thể khai thác được.
- Nếu có kết nối SSH từ các địa chỉ IP sau thì có nguy cơ tiềm ẩn bị tấn công:
- Ngoài ra người dùng cần để ý đến một số dấu hiệu khác như:
Khi bị khai thác, lỗ hổng sẽ khiến phần mềm Serv-U đưa ra một ngoại lệ và được ghi vào tệp nhật ký Serv-U là “DebugSocketlog.txt”. Tệp này có thể được tìm thấy thông qua hai đường dẫn sau:
Cần lưu ý rằng các ngoại lệ có thể xuất hiện vì một số lý do nào đó, vì vậy nó không nhất thiết có dấu hiệu của một cuộc tấn công. Tuy nhiên người dùng cũng nên kiểm tra tệp nhật ký của mình và xem xét kỹ càng các trường hợp ngoại lệ có thể sảy ra.
Kiểm tra các hoạt động Serv-U thông qua một số công cụ giám sát hoặc nền tảng EDR (Endpoint Detecttion and Response) của người dùng, đối với các chương trình con bất thường của Serv-U.exe, chẳng hạn như:
Đinh Hồng Đạt
Tổng hợp
21:00 | 07/03/2021
17:00 | 08/07/2021
15:00 | 12/08/2021
14:00 | 21/01/2021
09:00 | 18/08/2021
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024
