SolarWinds Serv-U dosya aktarım yazılımını etkileyen, yakın zamanda yamalanan yüksek önemdeki bir kusur, ortalıktaki kötü niyetli aktörler tarafından aktif olarak kullanılıyor.
Şu şekilde izlenen güvenlik açığı: CVE-2024-28995 (CVSS puanı: 8,6), endişeler saldırganların ana makinedeki hassas dosyaları okumasına olanak tanıyan bir dizin çapraz hatası.
Yazılımın Serv-U 15.4.2 HF 1 öncesi ve dahil tüm sürümlerini etkileyen bu sorun, şirket tarafından sürümde ele alınmıştır. Serv-U 15.4.2 HF 2 (15.4.2.157) bu ayın başlarında yayınlandı.
CVE-2024-28995’e duyarlı ürünlerin listesi aşağıdadır:
- Serv-U FTP Sunucusu 15.4
- Serv-U Ağ Geçidi 15.4
- Serv-U MFT Sunucusu 15.4 ve
- Serv-U Dosya Sunucusu 15.4
Web Immunify’dan güvenlik araştırmacısı Hussein Daher, kusuru keşfetme ve bildirme konusunda itibar kazandı. Kamuya yapılan açıklamanın ardından ilave teknik detaylar ve bir kavramın ispatı (PoC) istismarı o zamandan beri kullanıma sunuldu.
Siber güvenlik firması Rapid7, bu güvenlik açığının istismar edilmesinin önemsiz olduğunu ve kimliği doğrulanmamış harici saldırganların, o dosyanın yolunu bildiklerini ve dosyanın kilitli olmadığını varsayarak ikili dosyalar da dahil olmak üzere diskteki herhangi bir dosyayı okumasına izin verdiğini belirtti.
“CVE-2024-28995 gibi yüksek önem derecesine sahip bilgilerin ifşa edilmesi sorunları, saldırganların kurbanlara şantaj yapmak amacıyla dosya aktarım çözümlerine erişim sağladığı ve bu çözümlerden hızlı bir şekilde veri sızdırmaya çalıştığı parçala ve yakala saldırılarında kullanılabilir.” söz konusu.
“Dosya aktarım ürünleri, fidye yazılımı grupları da dahil olmak üzere son birkaç yılda çok çeşitli düşmanlar tarafından hedef alındı.”
Aslında tehdit istihbaratı firması GreyNoise’a göre tehdit aktörleri çoktan harekete geçmeye başladı. fırsatçı saldırılar düzenlemek Çin’den kaydedilen girişimlerle, /etc/passwd gibi hassas dosyalara erişim sağlamak için kusuru honeypot sunucularına karşı silah haline getiriyor.
Serv-U yazılımındaki önceki kusurların tehdit aktörleri tarafından istismar edilmesi nedeniyle, potansiyel tehditleri azaltmak için kullanıcıların güncellemeleri mümkün olan en kısa sürede uygulaması zorunludur.
Contrast Security ürün güvenliği direktörü Naomi Buckwalter, The Hacker News ile paylaşılan bir açıklamada, “Saldırganların halka açık PoC’leri kullanması, kötü niyetli aktörlerin giriş engelinin inanılmaz derecede düşük olduğu anlamına geliyor.” dedi.
“Bu güvenlik açığının başarılı bir şekilde kullanılması, saldırganlar için bir basamak olabilir. Saldırganlar, kimlik bilgileri ve sistem dosyaları gibi hassas bilgilere erişim sağlayarak, bu bilgileri ‘zincirleme’ adı verilen bir teknikle daha fazla saldırı başlatmak için kullanabilir. Bu, potansiyel olarak diğer sistemleri ve uygulamaları etkileyen daha yaygın bir uzlaşmaya yol açabilir.”