Microsoft が発見した新たな SolarWinds Serv-U バグが FIX:Log4j 攻撃を伝搬する?

Microsoft: SolarWinds fixes Serv-U bug exploited for Log4j attacks

2022/01/19 BleepingComputer — Microsoft が発見した Serv-U の脆弱性に対して、SolarWinds がパッチを適用した。この脆弱性は、脅威アクターが Log4j 攻撃を、ネットワーク上の内部デバイスに伝播させるために積極的に利用するものだ。Microsoft によると、Log4j 攻撃の監視中に、この脆弱性を発見したとのことだ。このバグは、Microsoft のセキュリティ研究者である Jonathan Bar Or が発見した不適切な入力検証の脆弱性であり、攻撃者により作成されたクエリが、無節操にネットワーク上に送信されることになる。

Microsoft は、Log4j アドバイザリの更新において、「Log4j 2の 脆弱性を利用した脅威を継続的に監視していたところ、これまで公表されていなかった脆弱性を介して伝播する、SolarWinds Serv-U ソフトウェア攻撃に関連する活動を確認した。この欠陥 CVE-2021-35247 は、不適切な入力検証の脆弱性であり、攻撃者が何らかの入力を受けてクエリを作成し、そのクエリをサニテーション無しでネットワーク上に送信できることを発見しました」と述べている。

昨日に SolarWinds は、CVE-2021-35247 に関するアドバイザリを発行し、この脆弱性を修正した Serv-U 15.3 をリリースした。同社のアドバイザリには「Serv-U の LDAP 認証への Web ログイン画面が、十分にサニタイズされていない文字を許可していた。SolarWindsは、追加の検証とサニタイズを実行するために、入力メカニズムを更新した。ただし、LDAP サーバーが不適切な文字を無視していたことで、ダウンストリームへの影響は検出されなかった」しており、Microsoft の報告と矛盾している。

現時点では、この脆弱性を利用しようとした脅威アクターは失敗に終わったのか、あるいは、Microsoft が示したように Log4j 攻撃がうまく伝播したのかどうかは不明である。これまでにも、脅威アクターたちは Serv-U の脆弱性を悪用し、また、Conti ランサムウェアなどによる攻撃も行われている。

BleepingComputer は、Microsoft と SolarWinds の両社に質問を送ったが、現時点では回答が得られていない。

昨年末からずっと、Loh4j 関連トピックが無い日はないという状況でしたが、この数日は小休止でホッとしていたところです。そして、Log4Shell 悪用の対象が SolarWinds Serv-U という、サプライチェーンが絡んでくるという、嫌な予感のする話が出てきました。Microsoft と SolarWinds の言い分が、ちょっと食い違っているところが気になりますが、大事に至らずに、このまま収まってほしいですね。。→ Log4j まとめページ

%d bloggers like this: