Les chercheurs de Microsoft ont découvert une vulnérabilité jusque-là inconnue dans le logiciel SolarWinds Serv-U tout en surveillant les menaces liées aux vulnérabilités Log4J.

Jonathan Bar Or a expliqué sur Twitter qu’en cherchant une tentative d’exploit Log4J, il a remarqué des attaques provenant de serv-u.exe.

« Un examen plus approfondi a montré que vous pouviez alimenter Ssrv-U avec des données et qu’il créerait une requête LDAP avec votre entrée non nettoyée ! Cela pourrait être utilisé pour les tentatives d’attaque log4j, mais aussi pour l’injection LDAP », a-t-il écrit.

« Solarwinds a immédiatement réagi, enquêté et corrigé la vulnérabilité #. Leur réponse est la plus rapide que j’aie jamais vue, un travail vraiment incroyable de leur part ! »

Microsoft a ensuite publié un blog sur le problème, suivi sous le nom de CVE-2021-35247, et a affirmé qu’il s’agissait d’une « vulnérabilité de validation d’entrée qui pourrait permettre aux attaquants de créer une requête basée sur une entrée et d’envoyer cette requête. » sur le réseau sans assainissement « .

Dans leur avis, SolarWinds a affirmé que l’écran de connexion Web Serv-U à l’authentification LDAP autorisait des caractères insuffisamment nettoyés.

« SolarWinds a mis à jour le mécanisme d’entrée pour effectuer une validation et une désinfection supplémentaires. Aucun effet en aval n’a été détecté car les serveurs LDAP ont ignoré les caractères incorrects », a déclaré la société, ajoutant que cela affectait 15.2.5 et les versions antérieures.

Ray Kelly de NTT Application Security a déclaré à ZDNet que la vulnérabilité l’avait surpris et inquiété étant donné que SolarWinds venait de sortir à la suite de sa précédente violation qui avait touché des milliers de clients.

« Depuis la publication de la divulgation Log4j en décembre, cette vulnérabilité Open Source aurait dû être la priorité absolue pour SolarWinds. Bien qu’il semble que SolarWinds n’était pas susceptible d’exploiter le composant vulnérable, ce n’est toujours pas quelque chose de souhaitable dans votre produit logiciel. ,  » dit Kelly.

« La plupart des produits de sécurité des applications sont capables de détecter la vulnérabilité de Log4j, donnant aux développeurs la possibilité d’identifier et de résoudre rapidement les problèmes. »

Microsoft a exhorté les clients à appliquer les mises à jour de sécurité expliquées dans l’avis SolarWinds et a déclaré que les clients peuvent utiliser leurs propres outils pour identifier et réparer les appareils vulnérables. Microsoft Defender Antivirus et Microsoft Defender for Endpoint détectent également les comportements liés à l’activité, ont-ils ajouté.

John Bambenek de Netenrich a ajouté que l’avertissement de Microsoft et le temps de réponse rapide de SolarWinds constituaient un exemple positif de la manière de traiter les vulnérabilités.

« C’est le genre de vulnérabilité et de coopération de recherche dont nous avons besoin, où une grande entreprise technologique avec une visibilité pour voir les attaques va à la société de logiciels et une solution est mise en production », a déclaré Bambenek.