Cibercriminosos estão explorando ativamente uma vulnerabilidade de path traversal no SolarWinds Serv-U, utilizando exploits de prova de conceito (PoC) disponíveis publicamente.
Embora os ataques não pareçam particularmente sofisticados, a atividade observada destaca o risco representado por endpoints não atualizados, enfatizando a necessidade urgente de os administradores aplicarem as atualizações de segurança.
A Falha CVE-2024-28995
A vulnerabilidade, CVE-2024-28995, é uma falha de travessia de diretório de alta severidade que permite a invasores não autenticados ler arquivos arbitrários do sistema de arquivos ao criar solicitações HTTP GET específicas.
A falha surge da validação insuficiente de sequências de travessia de diretório, permitindo que os atacantes contornem verificações de segurança e acessem arquivos sensíveis. Os produtos SolarWinds afetados incluem:
Serv-U FTP Server 15.4
Serv-U Gateway 15.4
Serv-U MFT Server 15.4
Serv-U File Server 15.4.2.126 e versões anteriores
Versões mais antigas (15.3.2 e anteriores) também são afetadas, mas chegarão ao fim de vida em fevereiro de 2025 e já não são suportadas.
Explorar essa falha pode expor dados sensíveis de acesso não autorizado a arquivos, potencialmente levando a um comprometimento prolongado.
Exploits Públicos Disponíveis
No fim de semana, analistas da Rapid7 publicaram uma análise técnica detalhada sobre como explorar a vulnerabilidade de travessia de diretório no SolarWinds Serv-U para ler arquivos arbitrários do sistema afetado. Um dia depois, um pesquisador independente indiano lançou um exploit PoC e um scanner em massa para a CVE-2024-28995 no GitHub.
Na segunda-feira, a Rapid7 alertou sobre a facilidade de exploração da falha, estimando o número de instâncias expostas na internet e potencialmente vulneráveis entre 5.500 e 9.500.
A GreyNoise configurou um honeypot que imita um sistema vulnerável do Serv-U para monitorar e analisar as tentativas de exploração da CVE-2024-28995. Os analistas observaram várias estratégias de ataque, incluindo ações manuais e tentativas automatizadas.
Os invasores utilizam sequências específicas de travessia de diretório, contornando verificações de segurança ao usar barras incorretas, que o sistema Serv-U posteriormente corrige, permitindo acesso não autorizado a arquivos.
Arquivos Comumente Alvo
Os arquivos mais frequentemente alvos observados pela GreyNoise incluem:
/etc/passwd (contém dados de contas de usuário no Linux)
/ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (contém informações de logs de inicialização para o servidor FTP Serv-U)
/windows/win.ini (arquivo de inicialização contendo configurações do Windows)
Os invasores miram esses arquivos para escalar privilégios ou explorar oportunidades secundárias na rede comprometida.
Persistência e Adaptação dos Hackers
Em tentativas de exploração da China, os invasores demonstraram persistência e adaptabilidade, experimentando diferentes payloads e formatos por quatro horas, ajustando sua abordagem com base nas respostas do servidor.
Com ataques confirmados em andamento, os administradores de sistema devem aplicar as correções disponíveis o mais rápido possível.
Conheça Nossa Solução de Monitoramento de Desempenho de Rede (NPMD)
Maximize a performance da sua rede e minimize interrupções com nossa solução de Monitoramento de Desempenho de Rede (NPMD). Obtenha visibilidade completa e insights detalhados sobre o desempenho da sua rede, permitindo que sua organização monitore, diagnostique e otimize suas operações.
Principais Benefícios:
Visibilidade Total: Oferece um panorama claro da performance de rede através de dashboards intuitivos e relatórios analíticos.
Detecção de Anomalias: Identifica rapidamente padrões anormais de tráfego e potenciais problemas de rede, facilitando intervenções rápidas.
Otimização de Recursos: Permite a alocação eficiente de recursos de rede através de análise e recomendações baseadas em dados.
Suporte a Decisão: Auxilia na tomada de decisões estratégicas com base em informações precisas sobre a saúde e performance da rede.
Redução de Downtime: Minimiza tempo de inatividade ao prever e resolver problemas antes que eles afetem a operacionalidade.
Interessado em saber mais? Se você deseja ver como o WhatsUp Gold pode transformar o monitoramento da sua infraestrutura de TI, agende uma demonstração com a International IT e conheça a solução em detalhes.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
