Falha no SolarWinds Serv-U
21 de Junho de 2024

Recentemente uma falha de alta gravidade recentemente corrigida que afeta o software de transferência de arquivos SolarWinds Serv-U está sendo ativamente explorada por atores maliciosos no campo.

A vulnerabilidade, identificada como CVE-2024-28995 (pontuação CVSS: 8.6), diz respeito a um bug de transversalidade de diretórios que poderia permitir que atacantes lessem arquivos sensíveis na máquina host.

Afetando todas as versões do software anteriores e incluindo o Serv-U 15.4.2 HF 1, ela foi corrigida pela empresa na versão Serv-U 15.4.2 HF 2 (15.4.2.157) lançada no início deste mês.

A lista de produtos susceptíveis ao CVE-2024-28995 é a seguinte:

Serv-U FTP Server 15.4
Serv-U Gateway 15.4
Serv-U MFT Server 15.4, e
Serv-U File Server 15.4

O pesquisador de segurança Hussein Daher da Web Immunify foi creditado pela descoberta e relato da falha.

Após a divulgação pública, detalhes técnicos adicionais e um exploit de prova de conceito (PoC) foram disponibilizados.

A empresa de cibersegurança Rapid7 descreveu a vulnerabilidade como trivial de ser explorada e que permite a atacantes externos não autenticados ler qualquer arquivo arbitrário em disco, incluindo arquivos binários, assumindo que eles saibam o caminho para esse arquivo e que ele não esteja bloqueado.

"Questões de alto risco de divulgação de informações como o CVE-2024-28995 podem ser utilizadas em ataques de acesso e exfiltração rápidos onde adversários ganham acesso a soluções de transferência de arquivos e tentam rapidamente exfiltrar dados com o objetivo de extorquir as vítimas", disse.

Produtos de transferência de arquivos têm sido alvos de uma ampla gama de adversários pelos últimos anos, incluindo grupos de ransomware.

De fato, segundo a empresa de inteligência de ameaças GreyNoise, atores de ameaça já começaram a realizar ataques oportunistas explorando a falha contra seus servidores honeypot para acessar arquivos sensíveis como /etc/passwd, com tentativas também registradas vindas da China.

Com falhas anteriores no software Serv-U exploradas por atores de ameaças, é imperativo que os usuários apliquem as atualizações o mais rápido possível para mitigar ameaças potenciais.

"O fato de que os atacantes estão usando PoCs publicamente disponíveis significa que a barreira de entrada para atores maliciosos é incrivelmente baixa", disse Naomi Buckwalter, diretora de segurança de produtos na Contrast Security, em uma declaração.

A exploração bem-sucedida desta vulnerabilidade pode ser um trampolim para atacantes.

Ao ganhar acesso a informações sensíveis como credenciais e arquivos do sistema, os atacantes podem usar essas informações para lançar ataques subsequentes, uma técnica chamada 'chaining'.

Isso pode levar a um comprometimento mais generalizado, possivelmente impactando outros sistemas e aplicações.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...