Actores maliciosos están explotando activamente una falla de alta gravedad recientemente reparada que afecta al software de transferencia de archivos SolarWinds Serv-U.
La vulnerabilidad, rastreada como CVE-2024-28995 (Puntuación CVSS: 8,6), preocupaciones un error transversal de directorio que podría permitir a los atacantes leer archivos confidenciales en la máquina host.
Afectando a todas las versiones del software anteriores a Serv-U 15.4.2 HF 1 inclusive, fue abordado por la empresa en la versión Serv-U 15.4.2 HF 2 (15.4.2.157) publicado a principios de este mes.
La lista de productos susceptibles a CVE-2024-28995 se encuentra a continuación:
- Servidor FTP Serv-U 15.4
- Puerta de enlace Serv-U 15.4
- Servidor Serv-U MFT 15.4 y
- Servidor de archivos Serv-U 15.4
Al investigador de seguridad Hussein Daher de Web Immunify se le atribuye el mérito de descubrir e informar la falla. Tras la divulgación pública, adicionales detalles técnicos y un prueba de concepto (PoC) ya están disponibles.
La empresa de ciberseguridad Rapid7 describió la vulnerabilidad como trivial de explotar y que permite a atacantes externos no autenticados leer cualquier archivo arbitrario en el disco, incluidos archivos binarios, suponiendo que conozcan la ruta a ese archivo y que no esté bloqueado.
“Los problemas de divulgación de información de alta gravedad como CVE-2024-28995 se pueden utilizar en ataques de destrucción y captura donde los adversarios obtienen acceso e intentan exfiltrar rápidamente datos de las soluciones de transferencia de archivos con el objetivo de extorsionar a las víctimas”, dicho.
“Los productos de transferencia de archivos han sido atacados por una amplia gama de adversarios en los últimos años, incluidos grupos de ransomware”.
De hecho, según la firma de inteligencia de amenazas GreyNoise, los actores de amenazas ya han comenzado a realizar ataques oportunistas utilizando la falla como arma contra sus servidores honeypot para acceder a archivos confidenciales como /etc/passwd, y también se registraron intentos desde China.
Dado que los actores de amenazas han explotado fallas anteriores en el software Serv-U, es imperativo que los usuarios apliquen las actualizaciones lo antes posible para mitigar las amenazas potenciales.
“El hecho de que los atacantes estén utilizando PoC disponibles públicamente significa que la barrera de entrada para los actores maliciosos es increíblemente baja”, dijo Naomi Buckwalter, directora de seguridad de productos de Contrast Security, en un comunicado compartido con The Hacker News.
“La explotación exitosa de esta vulnerabilidad podría ser un trampolín para los atacantes. Al obtener acceso a información confidencial como credenciales y archivos del sistema, los atacantes pueden usar esa información para lanzar más ataques, una técnica llamada ‘encadenamiento’. Esto puede llevar a un compromiso más generalizado, impactando potencialmente a otros sistemas y aplicaciones”.