Vulnerabilidade do SolarWinds Serv-U sob ataque ativo
![solarwinds](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilITH9pL3BtOSdbBSKEBBNgIvgCBEFU3ZeqzjMN8rk1kkZU56G2jGZKuw_qewfMHGmLPu-G__1qZ2wZDTtA8o722QQ1nBTfB5w8UfsXYZVfbyXv1dnOnB5uRERhT76eVr53JLjJHlKYiFNgPfzODLilE1spOzst-ggd3cG1qCesrpsHLZooMBsWG_HrcD8/s728-rw-e365/solarwinds.png?w=780&resize=780,470&ssl=1)
![Vulnerabilidade do SolarWinds Serv-U Vulnerabilidade do SolarWinds Serv-U](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilITH9pL3BtOSdbBSKEBBNgIvgCBEFU3ZeqzjMN8rk1kkZU56G2jGZKuw_qewfMHGmLPu-G__1qZ2wZDTtA8o722QQ1nBTfB5w8UfsXYZVfbyXv1dnOnB5uRERhT76eVr53JLjJHlKYiFNgPfzODLilE1spOzst-ggd3cG1qCesrpsHLZooMBsWG_HrcD8/s728-rw-e365/solarwinds.png)
Uma falha de alta gravidade corrigida recentemente que afeta o software program de transferência de arquivos SolarWinds Serv-U está sendo ativamente explorada por agentes mal-intencionados.
A vulnerabilidade, rastreada como CVE-2024-28995 (pontuação CVSS: 8,6), diz respeito a um bug transversal de diretório que pode permitir que invasores leiam arquivos confidenciais na máquina host.
Afetando todas as versões do software program anteriores e incluindo o Serv-U 15.4.2 HF 1, ele foi abordado pela empresa na versão Serv-U 15.4.2 HF 2 (15.4.2.157) lançada no início deste mês.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
A lista de produtos suscetíveis ao CVE-2024-28995 está abaixo –
- Servidor FTP Serv-U 15.4
- Gateway Serv-U 15.4
- Servidor Serv-U MFT 15.4 e
- Servidor de arquivos Serv-U 15.4
O pesquisador de segurança Hussein Daher, da Internet Immunify, recebeu o crédito por descobrir e relatar a falha. Após a divulgação pública, detalhes técnicos adicionais e uma exploração de prova de conceito (PoC) foram disponibilizados.
A empresa de segurança cibernética Rapid7 descreveu a vulnerabilidade como trivial de explorar e que permite que invasores externos não autenticados leiam qualquer arquivo arbitrário no disco, incluindo arquivos binários, desde que saibam o caminho para esse arquivo e que ele não esteja bloqueado.
“Problemas de divulgação de informações de alta gravidade, como CVE-2024-28995, podem ser usados em ataques de esmagamento e captura, onde os adversários obtêm acesso e tentam exfiltrar rapidamente dados de soluções de transferência de arquivos com o objetivo de extorquir as vítimas”, afirmou.
“Os produtos de transferência de arquivos têm sido alvo de uma ampla gama de adversários nos últimos anos, incluindo grupos de ransomware.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
Na verdade, de acordo com a empresa de inteligência de ameaças GreyNoise, os agentes de ameaças já começaram a conduzir ataques oportunistas, transformando a falha em seus servidores honeypot para acessar arquivos confidenciais como /and so on/passwd, com tentativas também registradas na China.
Com falhas anteriores no software program Serv-U exploradas por agentes de ameaças, é imperativo que os usuários apliquem as atualizações o mais rápido possível para mitigar ameaças potenciais.
“O fato de os invasores usarem PoCs disponíveis publicamente significa que a barreira de entrada para atores mal-intencionados é incrivelmente baixa”, disse Naomi Buckwalter, diretora de segurança de produto da Distinction Safety, em comunicado compartilhado com o The Hacker Information.
“A exploração bem-sucedida desta vulnerabilidade pode ser um trampolim para os invasores. Ao obter acesso a informações confidenciais, como credenciais e arquivos do sistema, os invasores podem usar essas informações para lançar novos ataques, uma técnica chamada ‘encadeamento’. Isso pode levar a um comprometimento mais generalizado, impactando potencialmente outros sistemas e aplicações.”