Злоумышленники активно эксплуатируют свежую path-traversal уязвимость в SolarWinds Serv-U, для которой уже доступны публичные PoC-эксплоиты.

Уязвимость CVE-2024-28995 представляет собой проблему типа path-traversal (обход каталога), позволяющую неаутентифицированным злоумышленникам читать произвольные файлы из файловой системы через специальные HTTP GET-запросы.

Баг затрагивает следующие продукты SolarWinds: Serv-U FTP Server 15.4, Serv-U Gateway 15.4, Serv-U MFT Server 15.4, Serv-U File Server 15.4.2.126 и более ранние версии. Более старые версии (15.3.2 и старше) тоже затронуты проблемой, однако срок их поддержки уже истек.

Эксплуатация уязвимости может привести к раскрытию конфиденциальных данных в результате несанкционированного доступа к файлам, что потенциально может привести к еще более серьезной компрометации.

5 июня 2024 года разработчики SolarWinds выпустили исправление 15.4.2 Hotfix 2, версия 15.4.2.157, но ситуация осложняется тем, что для уязвимости уже доступны PoC-эксплоиты. Так, аналитики Rapid7 опубликовали технический анализ, в котором подробно описали шаги по эксплуатации этой уязвимости в Serv-U. Тогда исследователи предупредили о том, насколько тривиальна эксплуатация уязвимости и оценили количество потенциально уязвимых экземпляров, доступных через интернет, в 5500–9500 штук.

А вскоре независимый индийский исследователь опубликовал на GitHub PoC-эксплоит и сканер для CVE-2024-28995.

Аналитики  компании GreyNoise создали honeypot, имитирующий уязвимую систему Serv-U, чтобы отслеживать и анализировать попытки эксплуатации CVE-2024-28995. Они сообщают, что уже наблюдали разные попытки атак, включая автоматические попытки и попытки использовать проблему вручную.

По словам исследователей, злоумышленники применяют специфические для платформы path traversal последовательности, к примеру, проверяя защиту с помощью неправильных косых черт, которые система Serv-U впоследствии исправляет, предоставляя несанкционированный доступ к файлам. Типичные пейлоады показаны на иллюстрации ниже.

Чаще всего, по данным Greynoise, атакам подвергаются следующие файлы:

  • \etc/passwd (содержит данные учетной записи пользователя в Linux);
  • /ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (содержит информацию о логах запуска FTP-сервера Serv-U);
  • /windows/win.ini (файл инициализации, содержащий параметры конфигурации Windows).

В дальнейшем злоумышленники используют эти файлы для повышения привилегий или поиска дополнительных возможностей для атак во взломанной сети.

Кроме того, GreyNoise сообщает о случаях, когда злоумышленники просто копируют эксплоиты без тестирования, что приводит к неудачным попыткам взлома.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии