Χάκερ εκμεταλλεύονται την κρίσιμη ευπάθεια του SolarWinds Serv-U

Ερευνητές ασφαλείας ανακάλυψαν πρόσφατα ότι χάκερ εκμεταλλεύονταν ενεργά την ευπάθεια του SolarWinds Serv-U, CVE-2024-28995.

Δείτε επίσης: SolarWinds: Διορθώνει ευπάθειες στο Access Rights Manager (ARM)

Η SolarWinds είναι μια εξέχουσα εταιρεία λογισμικού που ειδικεύεται σε λύσεις διαχείρισης και παρακολούθησης πληροφορικής για δίκτυα και υποδομές. Η εταιρεία απέκτησε φήμη μετά από μια σημαντική επίθεση στην αλυσίδα εφοδιασμού το 2020, όπου χάκερ εισήγαγαν κακόβουλο κώδικα στις ενημερώσεις του Orion, θέτοντας σε κίνδυνο τα δίκτυα περισσότερων από 30.000 πελατών.

Οι ερευνητές της GreyNoise Labs ανακάλυψαν πρόσφατα ότι οι χάκερ εκμεταλλεύονταν ενεργά την ευπάθεια του SolarWinds Serv-U CVE-2024-28995.

Τον Ιούνιο του 2024, το προϊόν μεταφοράς αρχείων “Serv-U” της SolarWinds βρέθηκε να έχει μια ευπάθεια “κρίσιμης path-traversal“.

Αυτό το ελάττωμα επέτρεψε στους εισβολείς να διαβάζουν αυθαίρετα αρχεία χειραγωγώντας τις παραμέτρους “InternalDir” και “InternalFile” στα αιτήματα “HTTP”. Ένα honeypot που μιμείται αυτήν την ευπάθεια αναπτύχθηκε για τη μελέτη προσπαθειών εκμετάλλευσης.

Σε διάστημα τριών μηνών, το honeypot κατέγραψε διάφορα μοτίβα επίθεσης, ξεκινώντας με βασικούς ανιχνευτές όπως η πρόσβαση στο “Linux” και στα “Windows”, και εμφανίστηκαν προσπάθειες που στοχεύουν ευαίσθητα αρχεία όπως τα “unattended.xml” και “sysprep.xml“, τα οποία ενδέχεται να περιέχουν διαπιστευτήρια σε απλό κείμενο.

Δείτε ακόμα: SolarWinds: Διορθώνει κρίσιμη ευπάθεια στο Web Help Desk

Οι φορείς απειλών αναζήτησαν επίσης “Windows registry hives” (SAM για δεδομένα κωδικού πρόσβασης) και “διαπιστευτήρια υπηρεσίας cloud

” για “AWS“, “Azure” και “Google Cloud“.

Εκτός από αυτό, τα συστήματα «Linux» εξετάστηκαν αρχικά και τα «Windows» έγιναν ο πρωταρχικός στόχος, σύμφωνα με την έκθεση GreyNoise. Οι επιθέσεις εξελίχθηκαν από απλές σαρώσεις ευπάθειας σε έντονες προσπάθειες εκμετάλλευσης.

Ενώ η κωδικοποίηση διεύθυνσης URL και το σύνολο χαρακτήρων διαφέρουν στα ωφέλιμα φορτία, υποδεικνύουν τις διαφορετικές προελεύσεις των εισβολέων. Η συχνότητα και η ποικιλία των εκμεταλλεύσεων μειώθηκαν με την πάροδο του χρόνου, υποδεικνύοντας μειωμένο ενδιαφέρον από τους παράγοντες απειλών ή βελτιωμένη επιδιόρθωση από τους πιθανούς στόχους.

Επιπλέον, χρήσιμες πληροφορίες σχετικά με τον κύκλο ζωής και τα πρότυπα εκμετάλλευσης μιας «ευπάθειας υψηλού προφίλ» σε ένα ευρέως χρησιμοποιούμενο «προϊόν επιχειρηματικού λογισμικού» παρέχονται από αυτά τα δεδομένα του πραγματικού κόσμου.⁤

Δείτε επίσης: Η SolarWinds διορθώνει 8 κρίσιμα σφάλματα λογισμικού

Αυτή η ανάλυση εξετάζει τις προσπάθειες διείσδυσης αρχείων από εισβολείς που στοχεύουν την ευπάθεια ενός διακομιστή SolarWinds Serv-U, κατηγοριοποιώντας τα ζητούμενα αρχεία σε ομάδες όπως “σαρωτές”, “διαπιστευτήρια Windows”, “διατάξεις ιστού”, “βάσεις δεδομένων” και “διάφορα ενδιαφέροντα αρχεία”.

Πηγή: cybersecuritynews