Ένα πρόσφατο διορθωμένο ελάττωμα υψηλής σοβαρότητας που επηρεάζει το λογισμικό μεταφοράς αρχείων SolarWinds Serv-U χρησιμοποιείται ενεργά από κακόβουλους παράγοντες στην άγρια φύση.
Η ευπάθεια, παρακολουθείται ως CVE-2024-28995 (Βαθμολογία CVSS: 8,6), ανησυχίες ένα εγκάρσιο σφάλμα καταλόγου που θα μπορούσε να επιτρέψει στους εισβολείς να διαβάσουν ευαίσθητα αρχεία στον κεντρικό υπολογιστή.
Επηρεάζοντας όλες τις εκδόσεις του λογισμικού πριν και συμπεριλαμβανομένου του Serv-U 15.4.2 HF 1, αντιμετωπίστηκε από την εταιρεία στην έκδοση Serv-U 15.4.2 HF 2 (15.4.2.157) που κυκλοφόρησε νωρίτερα αυτόν τον μήνα.
Η λίστα των προϊόντων που είναι ευαίσθητα στο CVE-2024-28995 είναι παρακάτω –
- Serv-U FTP Server 15.4
- Serv-U Gateway 15.4
- Serv-U MFT Server 15.4 και
- Serv-U File Server 15.4
Ο ερευνητής ασφάλειας Hussein Daher του Web Immunify έχει πιστωθεί ότι ανακάλυψε και ανέφερε το ελάττωμα. Μετά τη δημόσια αποκάλυψη, επιπλέον τεχνικές λεπτομέρειες και ένα απόδειξη της ιδέας Το (PoC) exploit είναι έκτοτε διαθέσιμο.
Η εταιρεία κυβερνοασφάλειας Rapid7 περιέγραψε την ευπάθεια ως ασήμαντη για εκμετάλλευση και ότι επιτρέπει σε εξωτερικούς εισβολείς χωρίς έλεγχο ταυτότητας να διαβάζουν οποιοδήποτε αυθαίρετο αρχείο στο δίσκο, συμπεριλαμβανομένων των δυαδικών αρχείων, με την προϋπόθεση ότι γνωρίζουν τη διαδρομή προς αυτό το αρχείο και ότι δεν είναι κλειδωμένο.
“Τα ζητήματα αποκάλυψης πληροφοριών υψηλής σοβαρότητας όπως το CVE-2024-28995 μπορούν να χρησιμοποιηθούν σε επιθέσεις “smash-and-grab” όπου οι αντίπαλοι αποκτούν πρόσβαση και προσπαθούν να εκμεταλλευτούν γρήγορα δεδομένα από λύσεις μεταφοράς αρχείων με στόχο τον εκβιασμό των θυμάτων”. είπε.
“Τα προϊόντα μεταφοράς αρχείων έχουν στοχοποιηθεί από ένα ευρύ φάσμα αντιπάλων τα τελευταία χρόνια, συμπεριλαμβανομένων ομάδων ransomware.”
Πράγματι, σύμφωνα με την εταιρεία πληροφοριών απειλών GreyNoise, οι φορείς απειλών έχουν ήδη αρχίσει να το κάνουν διεξάγουν ευκαιριακές επιθέσεις οπλίζοντας το ελάττωμα στους διακομιστές honeypot για πρόσβαση σε ευαίσθητα αρχεία όπως το /etc/passwd, με προσπάθειες που καταγράφονται επίσης από την Κίνα.
Με προηγούμενα ελαττώματα στο λογισμικό Serv-U που εκμεταλλεύονται οι φορείς απειλών, είναι επιτακτική ανάγκη οι χρήστες να εφαρμόζουν τις ενημερώσεις το συντομότερο δυνατό για να μετριάσουν πιθανές απειλές.
«Το γεγονός ότι οι εισβολείς χρησιμοποιούν δημόσια διαθέσιμα PoC σημαίνει ότι το εμπόδιο εισόδου για κακόβουλους παράγοντες είναι απίστευτα χαμηλό», δήλωσε η Naomi Buckwalter, διευθύντρια ασφάλειας προϊόντων στην Contrast Security, σε δήλωση που κοινοποιήθηκε στο The Hacker News.
“Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να είναι ένα σκαλοπάτι για τους εισβολείς. Με την απόκτηση πρόσβασης σε ευαίσθητες πληροφορίες όπως διαπιστευτήρια και αρχεία συστήματος, οι εισβολείς μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να εξαπολύσουν περαιτέρω επιθέσεις, μια τεχνική που ονομάζεται “αλυσίδα”. Αυτό μπορεί να οδηγήσει σε έναν πιο διαδεδομένο συμβιβασμό, δυνητικά επηρεάζοντας άλλα συστήματα και εφαρμογές».