Ciberseguridad 360 | Vulnerabilidad en SolarWinds Serv-U bajo explotación activa

Un fallo de alta gravedad recientemente parcheado que afecta al software de transferencia de archivos SolarWinds Serv-U est� siendo explotado activamente por actores maliciosos en la naturaleza.

La vulnerabilidad, rastreada como CVE-2024-28995 (puntuaci�n CVSS: 8,6), se refiere a un error transversal de directorio que podr�a permitir a los atacantes leer archivos confidenciales en la m�quina anfitriona.

Esta vulnerabilidad, que afectaba a todas las versiones del software anteriores a Serv-U 15.4.2 HF 1 inclusive, fue corregida por la empresa en la versi�n Serv-U 15.4.2 HF 2 (15.4.2.157) publicada a principios de este mes.

La lista de productos susceptibles a CVE-2024-28995 es la siguiente:

Servidor FTP Serv-U 15.4

Serv-U Gateway 15.4

Servidor Serv-U MFT 15.4,

Servidor de archivos Serv-U 15.4

Se atribuye al investigador de seguridad Hussein Daher, de Web Immunify, el descubrimiento y la notificaci�n del fallo. Tras la divulgaci�n p�blica, se han puesto a disposici�n detalles t�cnicos adicionales y una prueba de concepto (PoC) del exploit.

La empresa de ciberseguridad Rapid7 describi� la vulnerabilidad como trivial de explotar y que permite a atacantes externos no autentificados leer cualquier archivo arbitrario en disco, incluidos archivos binarios, suponiendo que conozcan la ruta a ese archivo y no est� bloqueado.

"Los problemas de divulgaci�n de informaci�n de alta gravedad, como el CVE-2024-28995, pueden utilizarse en ataques de tipo smash-and-grab, en los que los adversarios acceden a los datos de las soluciones de transferencia de archivos e intentan filtrarlos r�pidamente con el objetivo de extorsionar a las v�ctimas".

"Los productos de transferencia de archivos han sido blanco de una amplia gama de adversarios en los �ltimos a�os, incluidos los grupos de ransomware."

De hecho, seg�n la firma de inteligencia de amenazas GreyNoise, los actores de amenazas ya han comenzado a realizar ataques oportunistas utilizando el fallo contra sus servidores honeypot para acceder a archivos sensibles como /etc/passwd, con intentos tambi�n registrados desde China.

Teniendo en cuenta los fallos anteriores del software Serv-U explotados por los actores de amenazas, es imperativo que los usuarios apliquen las actualizaciones lo antes posible para mitigar las amenazas potenciales.

"El hecho de que los atacantes est�n utilizando PoCs disponibles p�blicamente significa que la barrera de entrada para los actores maliciosos es incre�blemente baja", dijo Naomi Buckwalter, directora de seguridad de productos en Contrast Security, en una declaraci�n compartida con The Hacker News.

"La explotaci�n exitosa de esta vulnerabilidad podr�a ser un trampol�n para los atacantes. Al obtener acceso a informaci�n sensible como credenciales y archivos de sistema, los atacantes pueden utilizar esa informaci�n para lanzar m�s ataques, una t�cnica llamada 'encadenamiento'. Esto puede llevar a un compromiso m�s extendido, impactando potencialmente en otros sistemas y aplicaciones."

Fuente: thehackernews