SolarWinds Serv-U 漏洞正受到主动攻击 - 立即修补

最近修补的一个影响 SolarWinds Serv-U 文件传输软件的高严重性漏洞正被野外恶意行为者积极利用。

该漏洞的编号为CVE-2024-28995（CVSS 评分：8.6），涉及目录横向漏洞，可能允许攻击者读取主机上的敏感文件。

该问题影响 Serv-U 15.4.2 HF 1 之前及之后的所有软件版本，该公司已在本月初发布的Serv-U 15.4.2 HF 2 (15.4.2.157) 版本中解决了该问题。

受 CVE-2024-28995 攻击影响的产品列表如下：

Serv-U FTP 服务器 15.4
Serv-U 网关 15.4
Serv-U MFT Server 15.4，以及
Serv-U 文件服务器 15.4
Web Immunify 的安全研究员 Hussein Daher 被发现并报告了该漏洞。在公开披露后，已提供更多技术细节和概念验证(PoC) 漏洞利用。

网络安全公司 Rapid7 表示，该漏洞很容易利用，它允许外部未经身份验证的攻击者读取磁盘上的任意文件，包括二进制文件，假设他们知道该文件的路径并且该文件未被锁定。

报告称：“像 CVE-2024-28995 这样的高严重性信息泄露问题可用于抢劫攻击，攻击者可以获取文件传输解决方案的访问权限并尝试快速窃取数据，以勒索受害者。 ”

“过去几年，文件传输产品成为了各类攻击者的目标，其中就包括勒索软件团体。”

事实上，根据威胁情报公司 GreyNoise 的说法，威胁行为者已经开始利用该漏洞对其蜜罐服务器进行机会性攻击，以访问 /etc/passwd 等敏感文件，并且中国也记录了此类尝试。

由于Serv-U 软件先前存在被威胁行为者利用的漏洞，用户必须尽快应用更新以减轻潜在威胁。

Contrast Security 产品安全总监 Naomi Buckwalter 在与 The Hacker News 分享的一份声明中表示：“攻击者使用公开的 PoC，这意味着恶意行为者的进入门槛极低。”

“成功利用此漏洞可能成为攻击者的垫脚石。通过获取凭据和系统文件等敏感信息，攻击者可以使用这些信息发起进一步的攻击，这种技术称为‘链式攻击’。这可能导致更广泛的攻击，并可能影响其他系统和应用程序。”