Une faille de grande gravité récemment corrigée affectant le logiciel de transfert de fichiers SolarWinds Serv-U est activement exploitée par des acteurs malveillants dans la nature.
La vulnérabilité, suivie comme CVE-2024-28995 (score CVSS : 8,6), préoccupations un bug transversal de répertoire qui pourrait permettre à des attaquants de lire des fichiers sensibles sur la machine hôte.
Affectant toutes les versions du logiciel antérieures et incluant Serv-U 15.4.2 HF 1, il a été résolu par la société dans la version Serv-U 15.4.2 HF2 (15.4.2.157) publié plus tôt ce mois-ci.
La liste des produits sensibles au CVE-2024-28995 est ci-dessous –
- Serveur FTP Serv-U 15.4
- Passerelle Serv-U 15.4
- Serveur Serv-U MFT 15.4 et
- Serveur de fichiers Serv-U 15.4
Le chercheur en sécurité Hussein Daher de Web Immunify a été reconnu pour avoir découvert et signalé la faille. Suite à la divulgation publique, des détails techniques et un preuve de concept (PoC) ont depuis été mis à disposition.
La société de cybersécurité Rapid7 a décrit la vulnérabilité comme triviale à exploiter et qu’elle permet à des attaquants externes non authentifiés de lire n’importe quel fichier arbitraire sur le disque, y compris les fichiers binaires, en supposant qu’ils connaissent le chemin d’accès à ce fichier et qu’il n’est pas verrouillé.
« Des problèmes de divulgation d’informations de haute gravité tels que CVE-2024-28995 peuvent être utilisés dans des attaques par smash-and-grab dans lesquelles des adversaires accèdent et tentent d’exfiltrer rapidement les données des solutions de transfert de fichiers dans le but d’extorquer les victimes », précise-t-il. dit.
« Les produits de transfert de fichiers ont été ciblés par un large éventail d’adversaires ces dernières années, y compris des groupes de ransomwares. »
En effet, selon la société de renseignement sur les menaces GreyNoise, les acteurs de la menace ont déjà commencé à mener des attaques opportunistes exploitant la faille contre ses serveurs honeypot pour accéder à des fichiers sensibles comme /etc/passwd, avec des tentatives également enregistrées en Chine.
Les failles précédentes du logiciel Serv-U étant exploitées par des acteurs malveillants, il est impératif que les utilisateurs appliquent les mises à jour dès que possible pour atténuer les menaces potentielles.
« Le fait que les attaquants utilisent des PoC accessibles au public signifie que la barrière à l’entrée pour les acteurs malveillants est incroyablement faible », a déclaré Naomi Buckwalter, directrice de la sécurité des produits chez Contrast Security, dans une déclaration partagée avec The Hacker News.
« L’exploitation réussie de cette vulnérabilité pourrait constituer un tremplin pour les attaquants. En accédant à des informations sensibles telles que les informations d’identification et les fichiers système, les attaquants peuvent utiliser ces informations pour lancer d’autres attaques, une technique appelée « chaînage ». Cela peut conduire à une compromission plus répandue, susceptible d’avoir un impact sur d’autres systèmes et applications. »