Οι hackers εκμεταλλεύονται ενεργά ένα ελάττωμα path-traversal του SolarWinds Serv-U, αξιοποιώντας τα δημόσια διαθέσιμα PoC.
Δείτε επίσης: Δημαρχείο του Cleveland: Ακόμα κλειστό μετά την επίθεση ransomware
Αν και οι επιθέσεις δεν φαίνονται ιδιαίτερα εξελιγμένες, η παρατηρούμενη δραστηριότητα υπογραμμίζει τον κίνδυνο που ενέχουν τα μη επιδιορθωμένα τελικά σημεία, τονίζοντας την επείγουσα ανάγκη των διαχειριστών να εφαρμόζουν τις ενημερώσεις ασφαλείας.
Το ελάττωμα CVE-2024-28995
Η ευπάθεια, CVE-2024-28995, είναι ένα ελάττωμα directory traversal υψηλής σοβαρότητας, που επιτρέπει στους μη επιβεβαιωμένους εισβολείς να διαβάζουν αυθαίρετα αρχεία από το σύστημα αρχείων, δημιουργώντας συγκεκριμένα αιτήματα HTTP GET.
Η ευπάθεια προκύπτει από την ανεπαρκή επικύρωση των ακολουθιών path-traversal, επιτρέποντας στους εισβολείς να παρακάμπτουν τους ελέγχους ασφαλείας και να έχουν πρόσβαση σε ευαίσθητα αρχεία.
Το ελάττωμα επηρεάζει τα ακόλουθα προϊόντα SolarWinds:
- Serv-U FTP Server 15.4
- Serv-U Gateway 15.4
- Serv-U MFT Server 15.4
- Serv-U File Server 15.4.2.126 και παλαιότερη έκδοση
Παλαιότερες εκδόσεις (15.3.2 και παλαιότερες) επηρεάζονται επίσης, αλλά θα φτάσουν στο τέλος της ζωής τους τον Φεβρουάριο του 2025 και δεν υποστηρίζονται.
Δείτε ακόμα: Η δημόσια υπηρεσία λεωφορείων TheBus θύμα επίθεσης ransomware;
Η εκμετάλλευση του ελαττώματος μπορεί να εκθέσει ευαίσθητα δεδομένα σε μη εξουσιοδοτημένη πρόσβαση σε αρχεία, οδηγώντας ενδεχομένως σε εκτεταμένη παραβίαση.
Η SolarWinds κυκλοφόρησε την επείγουσα επιδιόρθωση 15.4.2, έκδοση 15.4.2.157, στις 5 Ιουνίου 2024, για να αντιμετωπίσει αυτήν την ευπάθεια, εισάγοντας βελτιωμένους μηχανισμούς επικύρωσης.
Το Σαββατοκύριακο, οι αναλυτές της Rapid7 δημοσίευσαν μια τεχνική εγγραφή που παρείχε λεπτομερή βήματα για την εκμετάλλευση του ελαττώματος στο SolarWinds Serv-U για την ανάγνωση αυθαίρετων αρχείων από το επηρεαζόμενο σύστημα.
Μια μέρα αργότερα, ένας ανεξάρτητος Ινδός ερευνητής κυκλοφόρησε ένα PoC exploit και έναν μαζικό σαρωτή για το CVE-2024-28995 στο GitHub.
Τη Δευτέρα, η Rapid7 προειδοποίησε για το πόσο εύκολο είναι να εκμεταλλευτεί κανείς το ελάττωμα, υπολογίζοντας τον αριθμό των server που εκτίθενται στο διαδίκτυο και είναι ευάλωτοι μεταξύ 5.500 και 9.500.
Δείτε επίσης: Νοσοκομεία του Λονδίνου ακυρώνουν επεμβάσεις μετά από ransomware επίθεση
Οι κυβερνοεπιθέσεις έχουν γίνει μια ολοένα και πιο διαδεδομένη απειλή στον ψηφιακά συνδεδεμένο κόσμο μας. Αυτές οι κακόβουλες δραστηριότητες μπορεί να κυμαίνονται από απάτες phishing και ransomware έως πιο εξελιγμένες επιθέσεις όπως προηγμένες επίμονες απειλές (APT). Οι συνέπειες των κυβερνοεπιθέσεων μπορεί να είναι σοβαρές, επηρεάζοντας άτομα, επιχειρήσεις και κυβερνήσεις εξίσου. Οικονομικές απώλειες, παραβιάσεις δεδομένων και παραβιασμένες προσωπικές πληροφορίες είναι μερικές μόνο από τις πιθανές ζημιές. Για την καταπολέμηση αυτών των απειλών, είναι απαραίτητα αυστηρά μέτρα κυβερνοασφάλειας, συνεχής παρακολούθηση και εκπαίδευση των χρηστών. Καθώς η τεχνολογία εξελίσσεται, το ίδιο και οι στρατηγικές μας για την άμυνα ενάντια στο διαρκώς μεταβαλλόμενο τοπίο των απειλών στον κυβερνοχώρο.
Πηγή: bleepingcomputer
