SolarWinds corrige 4 fallos críticos RCE en Serv-U

SolarWinds ha publicado actualizaciones de seguridad urgentes para corregir cuatro vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a su solución de transferencia de archivos Serv-U, una plataforma ampliamente utilizada en entornos corporativos para el intercambio seguro de datos.

Las fallas, corregidas en Serv-U versión 15.5.4, podrían permitir a atacantes con privilegios elevados obtener acceso root en servidores Linux o privilegios de administrador en sistemas Windows, comprometiendo por completo la integridad de los entornos afectados.

Dado que Serv-U es utilizado por organizaciones para transferir archivos sensibles mediante protocolos como FTP, FTPS, SFTP y HTTP/S, la explotación exitosa de estas vulnerabilidades representa un riesgo significativo de robo de datos, movimiento lateral y despliegue de ransomware.

¿Qué es SolarWinds Serv-U y por qué es un objetivo atractivo?

Serv-U es una solución de transferencia de archivos autoalojada que ofrece capacidades de:

• Managed File Transfer (MFT)
• Servidor FTP tradicional
• Soporte para FTPS y SFTP
• Transferencias seguras vía HTTP/S

Al estar desplegado directamente en infraestructuras empresariales, Serv-U suele gestionar información confidencial como:

• Documentos financieros
• Datos de clientes
• Propiedad intelectual
• Información contractual
• Archivos regulados

Por este motivo, el software de transferencia de archivos se ha convertido en un objetivo recurrente de ciberdelincuentes y actores patrocinados por Estados.

CVE-2025-40538: la vulnerabilidad más grave

La falla más crítica, identificada como CVE-2025-40538, se describe como una vulnerabilidad de control de acceso roto.

CitarSegún el aviso oficial de SolarWinds:

"Existe una vulnerabilidad rota en el control de acceso en Serv-U que, cuando se explota, otorga al atacante la capacidad de crear un usuario administrador de sistemas y ejecutar código arbitrario como root mediante privilegios de administrador de dominio o de grupo".

En términos prácticos, un atacante con privilegios elevados podría:

• Crear una cuenta administrativa persistente
• Ejecutar código arbitrario
• Escalar privilegios hasta root
• Tomar control total del servidor

Este escenario podría facilitar la implantación de puertas traseras, herramientas de acceso remoto o ransomware.

Otras vulnerabilidades corregidas

Además de CVE-2025-40538, SolarWinds solucionó:

• Dos vulnerabilidades de confusión de tipo (type confusion)
• Una vulnerabilidad IDOR (Insecure Direct Object Reference)

La falla IDOR también podría ser explotada para lograr ejecución de código con privilegios root en determinadas condiciones.

Aunque ninguna de las cuatro vulnerabilidades permite acceso no autenticado directo, todas pueden resultar críticas en entornos donde un atacante ya haya obtenido credenciales privilegiadas o logrado una escalada inicial.

Requisito de privilegios altos: ¿mitiga realmente el riesgo?

Un aspecto relevante es que las vulnerabilidades requieren que el atacante ya disponga de altos privilegios en el servidor objetivo. Esto limita los escenarios de explotación directa desde Internet.

Sin embargo, en ataques modernos es común que los actores maliciosos:

• Utilicen credenciales robadas previamente
• Encadenen vulnerabilidades para escalar privilegios
• Aprovechen configuraciones débiles en Active Directory
• Ejecuten ataques internos tras comprometer un endpoint

En este contexto, las nuevas vulnerabilidades de Serv-U pueden convertirse en el eslabón final para lograr control total de la infraestructura.

¿Cuántos servidores Serv-U están expuestos?

Actualmente, el motor de búsqueda de dispositivos conectados Shodan rastrea más de 12.000 servidores Serv-U expuestos a Internet.

Por su parte, la organización de monitoreo Shadowserver estima una cifra inferior a 1.200 servidores accesibles públicamente.

La diferencia entre ambas cifras puede deberse a variaciones en criterios de escaneo, pero en cualquier caso demuestra que existe una superficie de ataque considerable.

Historial de explotación: Serv-U en la mira de grupos de ransomware

Serv-U no es ajeno a incidentes de seguridad en los últimos años.

En 2021, el grupo de ransomware Clop explotó la vulnerabilidad CVE-2021-35211, una falla de ejecución remota de código en el componente FTP de Serv-U Secure, para comprometer redes corporativas.

Asimismo, actores vinculados a China, rastreados por Microsoft como DEV-0322, desplegaron exploits de día cero contra CVE-2021-35211 a partir de julio de 2021, principalmente contra empresas estadounidenses del sector defensa y software.

Más recientemente, en junio de 2024, las firmas de ciberseguridad Rapid7 y GreyNoise alertaron sobre la explotación activa de la vulnerabilidad de recorrido de rutas CVE-2024-28995, aprovechando exploits de prueba de concepto (PoC) disponibles públicamente.

CISA sigue rastreando fallos de SolarWinds

La Cybersecurity and Infrastructure Security Agency (CISA) está monitoreando actualmente al menos nueve vulnerabilidades de SolarWinds que han sido explotadas activamente en la naturaleza.

Este seguimiento continuo refuerza la necesidad de que las organizaciones mantengan actualizados sus sistemas y apliquen parches con rapidez, especialmente en software expuesto a Internet.

Impacto empresarial y riesgos reales

Si un atacante logra explotar las vulnerabilidades corregidas en Serv-U 15.5.4, podría:

• Exfiltrar documentos confidenciales
• Implantar malware persistente
• Manipular archivos críticos
• Interrumpir operaciones empresariales
• Preparar el entorno para un ataque de ransomware

Dado que Serv-U suele integrarse con Active Directory y sistemas internos, el compromiso podría extenderse más allá del servidor afectado.

Recomendaciones urgentes para administradores

Las organizaciones que utilicen SolarWinds Serv-U deben:

• Actualizar inmediatamente a la versión 15.5.4 o superior.
• Revisar logs en busca de actividad sospechosa.
• Auditar cuentas con privilegios elevados.
• Implementar autenticación multifactor para accesos administrativos.
• Restringir el acceso externo mediante firewall o VPN.
• Aplicar principios de mínimo privilegio.

También es recomendable revisar la exposición pública del servicio y evaluar si realmente necesita estar accesible desde Internet.

En fin...

Las nuevas vulnerabilidades críticas de ejecución remota de código en SolarWinds Serv-U demuestran que el software de transferencia de archivos sigue siendo un objetivo prioritario para ciberdelincuentes y actores patrocinados por Estados.

Aunque los fallos requieren privilegios elevados para su explotación, el contexto actual de amenazas —marcado por robo de credenciales, movimientos laterales y ataques encadenados— convierte estas vulnerabilidades en un riesgo significativo.

La actualización inmediata y la adopción de medidas de seguridad defensiva son esenciales para evitar que Serv-U se convierta en la puerta de entrada a un incidente de seguridad de gran escala.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login