Vulnerabilidad de Serv-U en SolarWinds se encuentra bajo ataque activo

0

La vulnerabilidad de ServU en SolarWinds se encuentra bajo ataque activo. Se recomienda parchear inmediatamente

El FBI, NSA y CISA acusaron a Rusia por el ataque cibernético a SolarWinds

Una vulnerabilidad de alta gravedad recientemente parcheada que afecta al software de transferencia de archivos SolarWinds Serv-U está siendo activamente explotada por actores maliciosos en el entorno.

La vulnerabilidad, identificada como CVE-2024-28995 (puntuación CVSS: 8.6), se trata de un error de transversalidad de directorios que podría permitir a los atacantes acceder a archivos sensibles en el servidor afectado.

Esta vulnerabilidad afecta a todas las versiones del software anteriores e incluyendo la Serv-U 15.4.2 HF 1, y fue corregida por la compañía en la versión Serv-U 15.4.2 HF 2 (15.4.2.157) lanzada a principios de este mes.

Los productos afectados por CVE-2024-28995 son los siguientes:

  • Serv-U FTP Server 15.4
  • Serv-U Gateway 15.4
  • Serv-U MFT Server 15.4
  • Serv-U File Server 15.4

El investigador de seguridad Hussein Daher de Web Immunify ha sido reconocido por descubrir y reportar esta vulnerabilidad. Tras la divulgación pública, se han publicado detalles técnicos adicionales y un exploit de prueba de concepto (PoC).

La firma de ciberseguridad Rapid7 describió la vulnerabilidad como fácil de explotar, permitiendo a atacantes externos no autenticados leer cualquier archivo en el disco, incluyendo archivos binarios, siempre que conozcan la ruta del archivo y éste no esté bloqueado.

«Problemas de divulgación de información de alta gravedad como CVE-2024-28995 pueden ser utilizados en ataques rápidos donde los atacantes obtienen acceso y tratan de exfiltrar rápidamente datos de soluciones de transferencia de archivos con el objetivo de extorsionar a las víctimas», señaló la compañía.

«Los productos de transferencia de archivos han sido objetivo de una amplia gama de adversarios en los últimos años, incluyendo grupos de ransomware.»

De hecho, según la firma de inteligencia de amenazas GreyNoise, actores maliciosos ya han comenzado a realizar ataques oportunistas explotando esta vulnerabilidad contra sus servidores honeypot para acceder a archivos sensibles como /etc/passwd, con intentos registrados también desde China.

Dado que fallas anteriores en el software Serv-U han sido explotadas por actores maliciosos, es crucial que los usuarios apliquen las actualizaciones lo antes posible para mitigar posibles amenazas.

«El hecho de que los atacantes estén utilizando PoCs disponibles públicamente significa que la barrera de entrada para los actores maliciosos es extremadamente baja», comentó Naomi Buckwalter, directora de seguridad de productos en Contrast Security.

«La explotación exitosa de esta vulnerabilidad podría ser un punto de partida para los atacantes. Al obtener acceso a información sensible como credenciales y archivos del sistema, los atacantes pueden utilizar esa información para lanzar ataques adicionales, una técnica conocida como ‘encadenamiento’. Esto puede llevar a un mayor compromiso, afectando potencialmente a otros sistemas y aplicaciones.»


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *