(https://i.postimg.cc/WzRX81ys/Solar-Winds.png) (https://postimages.org/)
Los actores de amenazas están explotando activamente una vulnerabilidad de recorrido de ruta de SolarWinds Serv-U, aprovechando exploits de prueba de concepto (PoC) disponibles públicamente.
Aunque los ataques no parecen particularmente sofisticados, la actividad observada subraya el riesgo que representan los puntos finales sin parches, enfatizando la necesidad urgente de que los administradores apliquen las actualizaciones de seguridad.
La falla CVE-2024-28995
La vulnerabilidad, CVE-2024-28995, es una falla de cruce de directorios de alta gravedad que permite a atacantes no autenticados leer archivos arbitrarios del sistema de archivos mediante la elaboración de solicitudes HTTP GET específicas.
La vulnerabilidad surge de una validación insuficiente de las secuencias de recorrido de ruta, lo que permite a los atacantes eludir los controles de seguridad y acceder a archivos confidenciales.
La falla afecta a los siguientes productos SolarWinds:
Servidor FTP Serv-U 15.4
Puerta de enlace Serv-U 15.4
Servidor Serv-U MFT 15.4
Servidor de archivos Serv-U 15.4.2.126 y anteriores
Las versiones anteriores (15.3.2 y anteriores) también se ven afectadas, pero llegarán al final de su vida útil en febrero de 2025 y ya no son compatibles.
La explotación de la falla puede exponer datos confidenciales al acceso no autorizado a archivos, lo que podría provocar un compromiso prolongado.
SolarWinds lanzó 15.4.2 Hotfix 2, versión 15.4.2.157, el 5 de junio de 2024, para abordar esta vulnerabilidad mediante la introducción de mecanismos de validación mejorados.
Exploit públicos disponibles
Durante el fin de semana, los analistas de Rapid7 publicaron un artículo técnico que proporcionaba pasos detallados para explotar la vulnerabilidad de cruce de directorio en SolarWinds Serv-U para leer archivos arbitrarios del sistema afectado.
https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
Un día después, un investigador indio independiente lanzó un exploit PoC y un escáner masivo para CVE-2024-28995 en GitHub.
https://github.com/bigb0x/CVE-2024-28995
El lunes, Rapid7 advirtió sobre lo trivial que es explotar la falla, estimando el número de instancias potencialmente vulnerables y expuestas a Internet entre 5.500 y 9.500.
PoC del comando curl: Rapid7
(https://i.postimg.cc/ncXhBcJX/Curl-command-Po-C.png) (https://postimages.org/)
GreyNoise configuró un honeypot que imita un sistema Serv-U vulnerable para monitorear y analizar los intentos de explotación de CVE-2024-28995.
Los analistas observaron varias estrategias de ataque, incluidas acciones prácticas con el teclado que indican intentos manuales de explotar la vulnerabilidad, así como intentos automáticos.
Los atacantes utilizan secuencias de recorrido de ruta específicas de la plataforma, eludiendo los controles de seguridad mediante barras diagonales incorrectas, que el sistema Serv-U corrige posteriormente, permitiendo el acceso no autorizado a archivos.
Las cargas útiles típicas en Windows son 'GET /?InternalDir=/../../../../windows&InternalFile=win.ini' y en Linux es 'GET /?InternalDir=\..\..\..\ ..\etc&InternalFile=contraseña.'
Intentos de explotación en Windows y Linux
Fuente: GreyNoise
(https://i.postimg.cc/2SFRBPVq/Exploitation-attempts.png) (https://postimages.org/)
Los archivos atacados con más frecuencia por Greynoise son:
\etc/passwd (contiene datos de cuentas de usuario en Linux)
/ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (contiene información de registros de inicio para el servidor FTP Serv-U)
/windows/win.ini (archivo de inicialización que contiene los ajustes de configuración de Windows)
Los atacantes apuntan a esos archivos para aumentar sus privilegios o explorar oportunidades secundarias en la red violada.
GreyNoise informa de casos en los que los atacantes parecen copiar y pegar exploits sin realizar pruebas, lo que resulta en intentos fallidos.
En otros intentos de explotación desde China, los atacantes demuestran perseverancia, adaptabilidad y una mejor comprensión.
GreyNoise dice que experimentaron con diferentes cargas útiles y formatos durante cuatro horas y ajustaron su enfoque en función de las respuestas del servidor.
Con los ataques confirmados en marcha, los administradores del sistema deben aplicar las correcciones disponibles lo antes posible.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/solarwinds-serv-u-path-traversal-flaw-actively-exploited-in-attacks/