A SolarWinds lançou atualizações de segurança para corrigir quatro vulnerabilidades críticas de execução remota de código (RCE) no Serv-U, que podem permitir a invasores obter acesso root em servidores não atualizados.
O Serv-U é um software self-hosted de transferência de arquivos para Windows e Linux, equipado com funcionalidades de Managed File Transfer (MFT) e servidores FTP.
Ele permite que empresas realizem trocas seguras de arquivos via FTP, FTPS, SFTP e HTTP/S.
A falha mais grave, corrigida na versão 15.5.4 do Serv-U e registrada como
CVE-2025-40538
, permite que invasores com privilégios elevados elevem seu acesso para permissões root ou de administrador em servidores vulneráveis.
Segundo a SolarWinds, “existe uma vulnerabilidade de broken access control que, quando explorada, possibilita a criação de um usuário administrador do sistema e a execução de código arbitrário como root, a partir de privilégios de domínio ou grupo admin”.
Além disso, foram corrigidas duas falhas de type confusion e uma vulnerabilidade de Insecure Direct Object Reference (IDOR), que também podem ser exploradas para execução de código com privilégios root.
Felizmente, todas as quatro falhas exigem que o invasor já possua privilégios elevados no servidor-alvo, o que limita a exploração a cenários de escalonamento de privilégio ou uso de credenciais administrativas previamente comprometidas.
Atualmente, a plataforma Shodan monitora mais de 12.000 servidores Serv-U expostos na internet, enquanto a Shadowserver estima esse número em menos de 1.200.
Softwares de transferência de arquivos como o Serv-U são alvos frequentes por oferecerem acesso direto a documentos sensíveis de empresas e clientes.
Nos últimos cinco anos, diversos grupos de cibercrime e agentes patrocinados por estados exploraram vulnerabilidades no Serv-U para ataques de roubo de dados.
O grupo Clop, por exemplo, usou uma falha de execução remota (
CVE-2021-35211
) para invadir redes corporativas em ataques de ransomware.
Hackers chineses monitorados pela Microsoft como DEV-0322, conhecidos por focar em empresas de defesa e software dos EUA, também exploraram essa vulnerabilidade em ataques zero-day desde julho de 2021.
Mais recentemente, em junho de 2024, as empresas de cibersegurança Rapid7 e GreyNoise alertaram sobre a exploração ativa de uma vulnerabilidade de path traversal no Serv-U (
CVE-2024-28995
), usando exploits públicos como prova de conceito.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...