Actorii de amenințare exploatează activ o vulnerabilitate de traversare a căilor în SolarWinds Serv-U, folosind exploatarea publică a conceptului de probă (PoC).
Cu toate că atacurile nu par a fi deosebit de sofisticate, activitatea observată subliniază riscul reprezentat de punctele terminale neactualizate, subliniind nevoia urgentă ca administratorii să aplice actualizările de securitate.
Vulnerabilitatea, CVE-2024-28995, este o deficiență de traversare a directoriului cu severitate ridicată, permițând atacatorilor neautentificați să citească fișiere arbitrare din sistemul de fișiere prin crearea de cereri HTTP GET specifice.
Vulnerabilitatea apare din lipsa validării secvențelor de traversare a căilor, permițând atacatorilor să ocolească verificările de securitate și să acceseze fișiere sensibile.
Deficiența afectează următoarele produse SolarWinds:
De asemenea, versiunile mai vechi (15.3.2 și anterioare) sunt afectate, dar vor ajunge la sfârșitul ciclului de viață în februarie 2025 și nu mai sunt acceptate.
Exploatarea deficienței poate expune date sensibile din accesul neautorizat la fișiere, putând duce la compromitere extinsă.
SolarWinds a lansat Hotfix 2, versiunea 15.4.2.157, pe 5 iunie 2024, pentru a remedia această vulnerabilitate prin introducerea de mecanisme de validare îmbunătățite.
Peste weekend, analiștii Rapid7 au publicat un articol tehnic detaliat care oferă pași detaliați pentru exploatarea vulnerabilității de traversare a directoriului în SolarWinds Serv-U pentru a citi fișiere arbitrare din sistemul afectat.
O zi mai târziu, un cercetător independent indian a lansat o exploatare PoC și un scaner în vrac pentru CVE-2024-28995 pe GitHub.
Luni, Rapid7 a avertizat cât de trivială este deficiența de exploatat, estimând numărul de instanțe expuse pe internet și potențial vulnerabile între 5.500 și 9.500.
GreyNoise a pus în funcțiune o capcană care imită un sistem Serv-U vulnerabil pentru a monitoriza și analiza încercările de exploatare pentru CVE-2024-28995.
Analiștii au observat diverse strategii de atac, inclusiv acțiuni manuale de tastatură care indică încercări manuale de exploatare a vulnerabilității, precum și încercări automate.
Atacatorii folosesc secvențe de traversare a căilor specifice platformei, ocolind verificările de securitate folosind slash-uri incorecte, pe care sistemul Serv-U le corectează ulterior, permițând accesul neautorizat la fișiere.
Încărcările tipice pe Windows sunt „GET /?InternalDir=/../../../../windows&InternalFile=win.ini” și pe Linux este „GET /?InternalDir=\..\..\..\..\etc&InternalFile=passwd.”
Fișierele cel mai frecvent vizate văzute de Greynoise sunt:
Atacatorii vizează acele fișiere pentru a-și escalada privilegiile sau pentru a explora oportunități secundare în rețeaua compromisă.
Greynoise raportează cazuri în care atacatorii par să copieze-exploate fără a testa, rezultând în încercări eșuate.
În alte încercări de exploatare din China, atacatorii demonstrează persistență, adaptabilitate și înțelegere mai bună.
Greynoise spune că au experimentat cu diferite încărcături și formate timp de patru ore și au ajustat abordarea lor pe baza răspunsurilor serverului.
Cu atacuri confirmate în desfășurare, administratorii de sistem trebuie să aplice soluțiile disponibile cât mai curând posibil.
Leave a Reply