Recentemente uma falha de alta gravidade recentemente corrigida que afeta o software de transferência de arquivos SolarWinds Serv-U está sendo ativamente explorada por atores maliciosos no campo.
A vulnerabilidade, identificada como
CVE-2024-28995
(pontuação CVSS: 8.6), diz respeito a um bug de transversalidade de diretórios que poderia permitir que atacantes lessem arquivos sensíveis na máquina host.
Afetando todas as versões do software anteriores e incluindo o Serv-U 15.4.2 HF 1, ela foi corrigida pela empresa na versão Serv-U 15.4.2 HF 2 (15.4.2.157) lançada no início deste mês.
A lista de produtos susceptíveis ao
CVE-2024-28995
é a seguinte:
Serv-U FTP Server 15.4
Serv-U Gateway 15.4
Serv-U MFT Server 15.4, e
Serv-U File Server 15.4
O pesquisador de segurança Hussein Daher da Web Immunify foi creditado pela descoberta e relato da falha.
Após a divulgação pública, detalhes técnicos adicionais e um exploit de prova de conceito (PoC) foram disponibilizados.
A empresa de cibersegurança Rapid7 descreveu a vulnerabilidade como trivial de ser explorada e que permite a atacantes externos não autenticados ler qualquer arquivo arbitrário em disco, incluindo arquivos binários, assumindo que eles saibam o caminho para esse arquivo e que ele não esteja bloqueado.
"Questões de alto risco de divulgação de informações como o
CVE-2024-28995
podem ser utilizadas em ataques de acesso e exfiltração rápidos onde adversários ganham acesso a soluções de transferência de arquivos e tentam rapidamente exfiltrar dados com o objetivo de extorquir as vítimas", disse.
Produtos de transferência de arquivos têm sido alvos de uma ampla gama de adversários pelos últimos anos, incluindo grupos de ransomware.
De fato, segundo a empresa de inteligência de ameaças GreyNoise, atores de ameaça já começaram a realizar ataques oportunistas explorando a falha contra seus servidores honeypot para acessar arquivos sensíveis como /etc/passwd, com tentativas também registradas vindas da China.
Com falhas anteriores no software Serv-U exploradas por atores de ameaças, é imperativo que os usuários apliquem as atualizações o mais rápido possível para mitigar ameaças potenciais.
"O fato de que os atacantes estão usando PoCs publicamente disponíveis significa que a barreira de entrada para atores maliciosos é incrivelmente baixa", disse Naomi Buckwalter, diretora de segurança de produtos na Contrast Security, em uma declaração.
A exploração bem-sucedida desta vulnerabilidade pode ser um trampolim para atacantes.
Ao ganhar acesso a informações sensíveis como credenciais e arquivos do sistema, os atacantes podem usar essas informações para lançar ataques subsequentes, uma técnica chamada 'chaining'.
Isso pode levar a um comprometimento mais generalizado, possivelmente impactando outros sistemas e aplicações.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...