Een onlangs gepatchte, ernstige fout die van invloed is op de SolarWinds Serv-U-software voor bestandsoverdracht, wordt actief misbruikt door kwaadwillende actoren in het wild.
De kwetsbaarheid, bijgehouden als CVE-2024-28995 (CVSS-score: 8.6), betreft een directory-transversale bug waardoor aanvallers gevoelige bestanden op de hostmachine kunnen lezen.
Het betreft alle versies van de software vóór en inclusief Serv-U 15.4.2 HF 1 en werd door het bedrijf aangepakt in versie Serv-U 15.4.2 HF 2 (15.4.2.157), die eerder deze maand werd uitgebracht.
De lijst met producten die vatbaar zijn voor CVE-2024-28995 vindt u hieronder:
- Serv-U FTP-server 15.4
- Serv-U-gateway 15.4
- Serv-U MFT-server 15.4 en
- Serv-U Bestandsserver 15.4
Beveiligingsonderzoeker Hussein Daher van Web Immunify wordt gecrediteerd voor het ontdekken en rapporteren van de fout. Na de openbaarmaking zijn sindsdien aanvullende technische details en een proof-of-concept (PoC) exploit beschikbaar gesteld.
Cyberbeveiligingsbedrijf Rapid7 beschreef de kwetsbaarheid als triviaal om te misbruiken en stelt dat externe, niet-geauthenticeerde aanvallers elk willekeurig bestand op schijf kunnen lezen, inclusief binaire bestanden, ervan uitgaande dat ze het pad naar dat bestand kennen en dat het niet is vergrendeld.
“Ernstige problemen met het vrijgeven van informatie, zoals CVE-2024-28995, kunnen worden gebruikt bij ‘smash-and-grab’-aanvallen waarbij tegenstanders toegang krijgen tot gegevens en deze snel proberen te stelen uit oplossingen voor bestandsoverdracht, met als doel slachtoffers af te persen”, aldus het rapport.
“Producten voor bestandsoverdracht zijn de afgelopen jaren het doelwit geweest van een breed scala aan tegenstanders, waaronder ransomwaregroepen.”
Volgens het dreigingsinformatiebureau GreyNoise zijn dreigingsactoren al begonnen met het uitvoeren van opportunistische aanvallen, waarbij ze de fout tegen de honeypot-servers bewapenen om toegang te krijgen tot gevoelige bestanden zoals /etc/passwd, waarbij ook pogingen vanuit China zijn geregistreerd.
Omdat eerdere fouten in de Serv-U-software door bedreigingsactoren zijn uitgebuit, is het absoluut noodzakelijk dat gebruikers de updates zo snel mogelijk toepassen om potentiële bedreigingen te beperken.
“Het feit dat aanvallers openbaar beschikbare PoC’s gebruiken, betekent dat de toegangsdrempel voor kwaadwillende actoren ongelooflijk laag is”, zegt Naomi Buckwalter, directeur productbeveiliging bij Contrast Security, in een verklaring gedeeld met The Hacker News.
“Succesvolle exploitatie van dit beveiligingslek kan een opstapje zijn voor aanvallers. Door toegang te krijgen tot gevoelige informatie zoals inloggegevens en systeembestanden kunnen aanvallers die informatie gebruiken om verdere aanvallen uit te voeren, een techniek die ‘chaining’ wordt genoemd. Dit kan leiden tot een wijdverbreider compromis, wat mogelijk gevolgen heeft voor andere systemen en applicaties.”
