International IT
jun 203 min
Atualizado: há 5 dias
Cibercriminosos estão explorando ativamente uma vulnerabilidade de path traversal no SolarWinds Serv-U, utilizando exploits de prova de conceito (PoC) disponíveis publicamente.
Embora os ataques não pareçam particularmente sofisticados, a atividade observada destaca o risco representado por endpoints não atualizados, enfatizando a necessidade urgente de os administradores aplicarem as atualizações de segurança.
A vulnerabilidade, CVE-2024-28995, é uma falha de travessia de diretório de alta severidade que permite a invasores não autenticados ler arquivos arbitrários do sistema de arquivos ao criar solicitações HTTP GET específicas.
A falha surge da validação insuficiente de sequências de travessia de diretório, permitindo que os atacantes contornem verificações de segurança e acessem arquivos sensíveis. Os produtos SolarWinds afetados incluem:
Serv-U FTP Server 15.4
Serv-U Gateway 15.4
Serv-U MFT Server 15.4
Serv-U File Server 15.4.2.126 e versões anteriores
Versões mais antigas (15.3.2 e anteriores) também são afetadas, mas chegarão ao fim de vida em fevereiro de 2025 e já não são suportadas.
Explorar essa falha pode expor dados sensíveis de acesso não autorizado a arquivos, potencialmente levando a um comprometimento prolongado.
No fim de semana, analistas da Rapid7 publicaram uma análise técnica detalhada sobre como explorar a vulnerabilidade de travessia de diretório no SolarWinds Serv-U para ler arquivos arbitrários do sistema afetado. Um dia depois, um pesquisador independente indiano lançou um exploit PoC e um scanner em massa para a CVE-2024-28995 no GitHub.
Na segunda-feira, a Rapid7 alertou sobre a facilidade de exploração da falha, estimando o número de instâncias expostas na internet e potencialmente vulneráveis entre 5.500 e 9.500.
A GreyNoise configurou um honeypot que imita um sistema vulnerável do Serv-U para monitorar e analisar as tentativas de exploração da CVE-2024-28995. Os analistas observaram várias estratégias de ataque, incluindo ações manuais e tentativas automatizadas.
Os invasores utilizam sequências específicas de travessia de diretório, contornando verificações de segurança ao usar barras incorretas, que o sistema Serv-U posteriormente corrige, permitindo acesso não autorizado a arquivos.
Os arquivos mais frequentemente alvos observados pela GreyNoise incluem:
/etc/passwd (contém dados de contas de usuário no Linux)
/ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (contém informações de logs de inicialização para o servidor FTP Serv-U)
/windows/win.ini (arquivo de inicialização contendo configurações do Windows)
Os invasores miram esses arquivos para escalar privilégios ou explorar oportunidades secundárias na rede comprometida.
Em tentativas de exploração da China, os invasores demonstraram persistência e adaptabilidade, experimentando diferentes payloads e formatos por quatro horas, ajustando sua abordagem com base nas respostas do servidor.
Com ataques confirmados em andamento, os administradores de sistema devem aplicar as correções disponíveis o mais rápido possível.
VEJA TAMBÉM: Transforme a Gestão de TI com Dashboards de Monitoramento em Tempo Real
Maximize a performance da sua rede e minimize interrupções com nossa solução de Monitoramento de Desempenho de Rede (NPMD). Obtenha visibilidade completa e insights detalhados sobre o desempenho da sua rede, permitindo que sua organização monitore, diagnostique e otimize suas operações.
Principais Benefícios:
Visibilidade Total: Oferece um panorama claro da performance de rede através de dashboards intuitivos e relatórios analíticos.
Detecção de Anomalias: Identifica rapidamente padrões anormais de tráfego e potenciais problemas de rede, facilitando intervenções rápidas.
Otimização de Recursos: Permite a alocação eficiente de recursos de rede através de análise e recomendações baseadas em dados.
Suporte a Decisão: Auxilia na tomada de decisões estratégicas com base em informações precisas sobre a saúde e performance da rede.
Redução de Downtime: Minimiza tempo de inatividade ao prever e resolver problemas antes que eles afetem a operacionalidade.
Interessado em saber mais? Se você deseja ver como o WhatsUp Gold pode transformar o monitoramento da sua infraestrutura de TI, agende uma demonstração com a International IT e conheça a solução em detalhes.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!