El 5 de junio de 2024, SolarWinds reveló CVE-2024-28995, una vulnerabilidad de Path Traversal de alta gravedad que afecta a su servidor de transferencia de archivos Serv-U, que viene en dos ediciones (Serv-U FTP y Serv-U MFT).
La explotación exitosa de la vulnerabilidad permite a atacantes no autenticados leer archivos confidenciales en el servidor de destino. El equipo de investigación de vulnerabilidades de Rapid7 reprodujo la vulnerabilidad y confirmó que es trivialmente explotable y permite que un atacante externo no autenticado lea cualquier archivo en el disco, incluidos archivos binarios, siempre que conozcan la ruta y el archivo no esté bloqueado (es decir, abierto exclusivamente por algo más).
Según el proveedor, las siguientes versiones de Serv-U se ven afectadas y se ejecutan en Windows o Linux:
- Servidor FTP Serv-U 15.4
- Puerta de enlace Serv-U 15.4
- Servidor Serv-U MFT 15.4
Este problema de divulgación de información se puede utilizar en ataques de destrucción y captura (smash-and-grab) en los que los adversarios obtienen acceso e intentan exfiltrar rápidamente datos de las soluciones de transferencia de archivos con el objetivo de extorsionar a las víctimas. Los productos de transferencia de archivos han sido atacados por una amplia gama de adversarios en los últimos años, incluidos grupos de ransomware.
Las estimaciones de exposición a Internet para SolarWinds Serv-U varían sustancialmente según la consulta utilizada. Por ejemplo, estar expuesto no significa automáticamente vulnerable:
- FOFA Link: https://en.fofa.info/result?qbase64=YXBwPSJTb2xhcldpbmRzLVNlcnYtVS1GVFAi
- FOFA Query: app="SolarWinds-Serv-U-FTP"
- 9.470 instancias de Serv-U expuestas (búsqueda de favicon)
- 5.434 instancias Serv-U expuestas (búsqueda de nombre de producto)
Los clientes de SolarWinds Serv-U deben aplicar la revisión proporcionada por el proveedor de inmediato. No se sabe que CVE-2024-28995 esté explotado en estado salvaje pero se recomienda instalar la revisión proporcionada por el proveedor (Serv-U 15.4.2 HF 2) inmediatamente, sin esperar a que se produzca un ciclo de parche regular.
Fuente: Rapid7