روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین سعی دارند از طریق حملاتی که نواقص Log4j را اکسپلویت می‌کند به نرم‌افزار اشتراک‌گذاری فایل Serv-U ساخت شرکت SolarWinds[1] وارد شوند. ماجرای این حمله کمی گیج‌کننده است: ابتدا مایکروسافت چهارشنبه هفته گذشته هشدار داد که مهاجمین دارند از آسیب‌پذیریِ از قبل افشاشده در این نرم‌افزار سوءاستفاده می‌کنند. همچنین تذکر داد هدف مهاجمین از این کار، انتشار حملات Log4j در دستگاه‌های داخل شبکه‌ها از طریق همین باگ سولارویندز است. SolarWinds هم روز سه‌شنبه این باگ را برطرف کرد. این شرکت سپس در وبسایت‌های خبری مختلف شفاف‌سازی نمود که گزارش مایکروسافت به عامل تهدیدی اشاره داشته است که سعی داشته با استفاده از آسیب‌پذیری Log4j به نرم‌افزار Serv-U لاگین کند. این اقدام اما با شکست مواجه شده است؛ با توجه به این حقیقت که Serv-U در اصل از کد  Log4j استفاده نمی‌کند و دایرکتوری فعال مایکروسافت[2] در تیررس حملات  Log4j قرار نخواهد گرفت.

به نقل از مرکز هوش تهدید مایکروسافت (MSTIC) آسیب‌پذیری SolarWinds که نام CVE-2021-35247 به خود گرفته است یک نقص اعتبارسنجی ورودی است که می‌تواند به مهاجمین اجازه دهد با توجه به برخی ورودی‌ها جستار درست کرده و آن جستار را بدون در نظر گرفتن بهداشت آن روی شبکه ارسال کنند.

این باگ که توسط مایکروسافت کشف شد روی نسخه‌های  15.2.5 به قبل نرم‌افزار  Serv-U تأثیر گذاشته است. SolarWinds این آسیب‌پذیری را در نسخه 15.3 این نرم‌افزار که هفته گذشته منتشر شد برطرف کرده است. به نقل از این شرکت نرم‌افزاری، «لاگین اسکرینServ-U  برای احراز هویت LDAP در واقع به کاراکترهایی که به حد کافی ایمن نبودند اجازه ورود می‌داد». اگر بخواهیم جزئی‌تر بگوییم این کشف کار چه کسی بود باید اسم محقق بخش امنیتی مایکروسافت را بیاوریم: جوناتان بارور. او اینطور توضیح می‌دهد که حملاتی را دیده بود که به قصد serv-u.exe آمده بودند و در عین حال هم قصد سوءاستفاده از log4j را داشتند. او چنین شرح می‌دهد، «با کمی بررسی بیشتر متوجه شدم می‌شود Serv-U را با داده تغذیه کرد  بعد هم آن جستار LDAP را با ورودی‌های ناامن درست خواهد کرد. همین می‌تواند برای حملات log4j  و نیز تزریق LDAP استفاده شود». نماینده سولارویندز خطاب به خبرگزاری‌ها چنین گفت که مهاجمین نتوانستند به  Serv-U ورود کنند و این محقق مایکروسافتی به حملات لاگینی اشاره داشته که موفقیت‌آمیز نبوده‌اند زیرا Serv-U به کد Log4J رخنه نکرده است. به نقل از این شرکت هنوز این باگ باعث خطر واقعی نشده است زیرا سرورهای LDAP کاراکترهای نادرست را نادیده گرفتند. MSTIC جزئیات این حمله مشاهده‌شده را هنوز ارائه نداده است.

حملات Serv-U جدیدترین تلاش‌های اکسپلویت از Log4j هستند. آرشیو لاگین Log4j متعلق به Apache ماه گذشته هم مورد هجوم عاملین دیگر تهدید قرار گرفت. روز سه‌شنبه محققین Akamai همچنین شناسایی آسیب‌پذیری یک کد اجرای ریموت شرور را در Log4j  گزارش دادند (این آسیب‌پذیری عنوان CVE-2021-44228 را دریافت کرد). MSTIC قویاً توصیه کرده است که مشتریانی که تحت‌الشعاع قرار گرفتند سریعاً نسبت به آپدیت‌های امنیتی سولارویندوز اقدام کنند.

[1]شرکت نرم‌افزار آمریکایی است، که در سال ۱۹۹۹ تأسیس شد.

[2] LDAP

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.