Uma falha de alta gravidade corrigida recentemente que afeta o software program de transferência de arquivos SolarWinds Serv-U está sendo ativamente explorada por agentes mal-intencionados.
A vulnerabilidade, rastreada como CVE-2024-28995 (pontuação CVSS: 8,6), diz respeito a um bug transversal de diretório que pode permitir que invasores leiam arquivos confidenciais na máquina host.
Afetando todas as versões do software program anteriores e incluindo o Serv-U 15.4.2 HF 1, ele foi abordado pela empresa na versão Serv-U 15.4.2 HF 2 (15.4.2.157) lançada no início deste mês.
A lista de produtos suscetíveis ao CVE-2024-28995 está abaixo –
- Servidor FTP Serv-U 15.4
- Gateway Serv-U 15.4
- Servidor Serv-U MFT 15.4 e
- Servidor de arquivos Serv-U 15.4
O pesquisador de segurança Hussein Daher, da Internet Immunify, recebeu o crédito por descobrir e relatar a falha. Após a divulgação pública, detalhes técnicos adicionais e uma exploração de prova de conceito (PoC) foram disponibilizados.
A empresa de segurança cibernética Rapid7 descreveu a vulnerabilidade como trivial de explorar e que permite que invasores externos não autenticados leiam qualquer arquivo arbitrário no disco, incluindo arquivos binários, desde que saibam o caminho para esse arquivo e que ele não esteja bloqueado.
“Problemas de divulgação de informações de alta gravidade, como CVE-2024-28995, podem ser usados em ataques de esmagamento e captura, onde os adversários obtêm acesso e tentam exfiltrar rapidamente dados de soluções de transferência de arquivos com o objetivo de extorquir as vítimas”, afirmou.
“Os produtos de transferência de arquivos têm sido alvo de uma ampla gama de adversários nos últimos anos, incluindo grupos de ransomware.”
Na verdade, de acordo com a empresa de inteligência de ameaças GreyNoise, os agentes de ameaças já começaram a conduzir ataques oportunistas, transformando a falha em seus servidores honeypot para acessar arquivos confidenciais como /and so on/passwd, com tentativas também registradas na China.
Com falhas anteriores no software program Serv-U exploradas por agentes de ameaças, é imperativo que os usuários apliquem as atualizações o mais rápido possível para mitigar ameaças potenciais.
“O fato de os invasores usarem PoCs disponíveis publicamente significa que a barreira de entrada para atores mal-intencionados é incrivelmente baixa”, disse Naomi Buckwalter, diretora de segurança de produto da Distinction Safety, em comunicado compartilhado com o The Hacker Information.
“A exploração bem-sucedida desta vulnerabilidade pode ser um trampolim para os invasores. Ao obter acesso a informações confidenciais, como credenciais e arquivos do sistema, os invasores podem usar essas informações para lançar novos ataques, uma técnica chamada ‘encadeamento’. Isso pode levar a um comprometimento mais generalizado, impactando potencialmente outros sistemas e aplicações.”
