Uma falha de alta gravidade recentemente corrigida, que afeta o software de transferência de arquivos SolarWinds Serv-U, está sendo ativamente explorada por agentes mal-intencionados. A vulnerabilidade, rastreada como CVE-2024-28995 (pontuação CVSS: 8,6), diz respeito a um bug de directory traversal que pode permitir que invasores leiam arquivos confidenciais na máquina host. Afetando todas as versões do software anteriores e incluindo o Serv-U 15.4.2 HF 1, a falha foi abordada pela empresa na versão Serv-U 15.4.2 HF 2 (15.4.2.157) lançada no início deste mês.
Produtos afetados:
- Servidor FTP Serv-U 15.4
- Gateway Serv-U 15.4
- Serv-U MFT Server 15.4
- Servidor de Arquivos Serv-U 15.4
Detalhamento Técnico da Vulnerabilidade
A falha CVE-2024-28995 está centrada em um problema de directory traversal, uma vulnerabilidade que ocorre quando o software não valida adequadamente a entrada do usuário, permitindo que um invasor manipule caminhos de arquivos para acessar locais fora do diretório raiz pretendido. Especificamente, essa vulnerabilidade permite que invasores externos não autenticados leiam arquivos arbitrários no disco, desde que saibam o caminho exato do arquivo e este não esteja protegido contra acesso.
Após a divulgação pública da falha, detalhes técnicos adicionais e uma exploração de prova de conceito (PoC) foram disponibilizados. A empresa Rapid7 descreveu a vulnerabilidade como “trivial” de explorar. Isso significa que qualquer invasor com conhecimento básico pode facilmente criar uma solicitação que explora a falha para acessar arquivos sensíveis
Exploração Ativa da Vulnerabilidade
De acordo com a empresa de inteligência de ameaças GreyNoise, agentes de ameaças já começaram a realizar ataques oportunistas, armando a falha contra seus servidores honeypot para acessar arquivos confidenciais como /etc/passwd, com tentativas também registradas da China. Com falhas anteriores no software Serv-U exploradas por agentes de ameaças, é imperativo que os usuários apliquem as atualizações o mais rápido possível para mitigar possíveis ameaças.
“O fato de os invasores estarem usando PoCs disponíveis publicamente significa que a barreira de entrada para agentes mal-intencionados é incrivelmente baixa”, disse Naomi Buckwalter, diretora de segurança de produtos da Contrast Security, em um comunicado compartilhado com o The Hacker News. “A exploração bem-sucedida dessa vulnerabilidade pode ser um trampolim para os invasores. Ao obter acesso a informações confidenciais, como credenciais e arquivos do sistema, os invasores podem usar essas informações para lançar novos ataques, uma técnica chamada ‘encadeamento’. Isso pode levar a um comprometimento mais generalizado, potencialmente impactando outros sistemas e aplicativos.”
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.