Върнете се в началото
Сряда, 17 юли 2024 г
домНовиниПроблем с пътя - SolarWinds Serv-U Уязвимост към атаки

Проблем с пътя - SolarWinds Serv-U Уязвимост към атаки


Актьорите на заплаха активно се възползват от кръстосана уязвимостς μονοπατιών του SolarWinds Serv-U, αξιοποιώντας τα δημόσια διαθέσιμα εκμεταλλεύσεις απόδειξης της ιδέας (PoC).

Въпреки че атаките не изглеждат особено сложни, наблюдаваната дейност подчертава риска, породен от крайни точки без корекции, подчертавайки спешната необходимост администраторите да прилагат актуализации за защита.

Дефектът CVE-2024-28995

Уязвимостта, CVE-2024-28995, е недостатък при преминаване на директория с висока степен на сериозност, който позволява на неавтентифицирани нападатели да четат произволни файлове от файловата система, като правят специфични HTTP GET заявки.

Уязвимостта е резултат от недостатъчно валидиране на последователностите за преминаване на пътя, което позволява на нападателите да заобикалят проверките за сигурност и да имат достъп до чувствителни файлове.

Пропускът засяга следните продукти на SolarWinds:

  • Serv-U FTP сървър 15.4
  • Serv-U Gateway 15.4
  • Serv-U MFT сървър 15.4
  • Файлов сървър Serv-U 15.4.2.126 и по-стари

По-старите версии (15.3.2 и по-ранни) също са засегнати, но ще достигнат края на живота си през февруари 2025 г. и вече не се поддържат.

Използването на пропуска може да изложи чувствителни данни на неоторизиран достъп до файлове, което потенциално води до сериозен компромет.

SolarWinds пусна актуална корекция 15.4.2версия 15.4.2.157, на 5 юни 2024 г., за справяне с тази уязвимост чрез въвеждане на подобрени механизми за валидиране.

Обществен холдинг

През уикенда анализаторите на Rapid7 публикува технически документ който предостави подробни стъпки за използване на уязвимостта при преминаване на директория в SolarWinds Serv-U за четене на произволни файлове от засегнатата система.

Ден по-късно независим индиец пусна един PoC експлойт и масов скенер за CVE-2024-28995 в GitHub.

В понеделник Rapid7 предупреден за това колко тривиално е да се използва недостатъкът, оценявайки броя на киберизложените и потенциално уязвими случаи между 5.500 и 9.500.

Curl PoC команда
Curl PoC команда
Източник: Rapid7

GreyNoise създаде honeypot, който имитира уязвима Serv-U система, за да наблюдава и анализира опитите за експлойт за CVE-2024-28995.

Анализаторите наблюдава различни стратегии за атакавключително практически действия на клавиатурата, които показват ръчни опити за използване на уязвимостта, както и автоматизирани опити.

Нападателите използват специфични за платформата последователности за преминаване на пътя, заобикаляйки проверките за сигурност чрез използване на неправилни наклонени черти, които системата Serv-U по-късно коригира, позволявайки неоторизиран достъп до файлове.

Типични полезни товари при είναι ‘GET /?InternalDir=/../../../../windows&InternalFile=win.ini' και στο е 'GET /?InternalDir=\..\..\..\ ..\etc&InternalFile=passwd.'

Опити за експлоатация на Windows и Linux
Опити за експлоатация на Windows и Linux
Източник: GreyNoise

Най-често насочените файлове, виждани от Greynoise, са:

  • \etc/ако съществува (съдържа данни за потребителски акаунт в Linux)
  • /ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (съдържа информация за регистрационния файл за зареждане за Serv-U FTP сървър)
  • /прозорци/win.ini (файл за инициализация, съдържащ настройки за конфигурация на Windows)

Нападателите се насочват към тези файлове, за да ескалират своите привилегии или да изследват вторични възможности в компрометираната мрежа.

GreyNoise съобщава за случаи, при които нападателите изглежда копират и поставят експлойти без тестване, което води до неуспешни опити.

При други опити за експлоатация от , нападателите демонстрират постоянство, адаптивност и по-добро разбиране.

GreyNoise казва, че са експериментирали с различни полезни натоварвания и формати в продължение на четири часа и са коригирали подхода си въз основа на отговорите на сървъра.

При потвърдени атаки в ход, системните администратори трябва да приложат наличните корекции възможно най-скоро.



VIA: bleepingcomputer.com

Маризас Димитрис
Маризас Димитрисhttps://www.techwar.gr
Отдаден фен на мобилните телефони Samsung, Димитрис е развил специално отношение към продуктите на компанията, оценявайки дизайна, производителността и иновациите, които предлагат. Писане и четене на технологични новини от цял ​​свят.
СВЪРЗАНИ СТАТИИ

ОСТАВЕТЕ КОМЕНТАР

въведете своя коментар!
моля, въведете вашето име тук

Най - популярни

Последни статии