威胁情报公司 GreyNoise 报告称,威胁行为者正在利用公共概念验证 (PoC) 代码,首次尝试利用最近修补的 SolarWinds Serv-U 漏洞。
被利用的漏洞编号为 CVE-2024-28995,是一个高严重性目录横向漏洞,允许攻击者读取主机上的敏感文件。
概述2024 年 6 月 5 日,SolarWinds 发布了一份针对 CVE-2024-28995 的公告,这是一个影响其文件传输解决方案 Serv-U 的高严重性目录遍历漏洞。该漏洞是由Web Immunify的研究员Hussein Daher发现的。 据供应商称,运行于 Windows 或 Linux 上的 Serv-U 以下版本受到影响:
根据供应商文档,Serv-U 版本 我们的分析是在运行 SolarWinds Serv-U 文件服务器(64 位)版本的 Windows Server 2022 系统上进行的 我们已验证供应商提供的修补程序 |
SolarWinds 于 6 月 6 日披露了该漏洞,当时该公司宣布 Serv-U 15.4.2 hotfix 1 及之前的版本(包括 Serv-U FTP Server、Serv-U Gateway 和 Serv-U MFT Server)均受到影响。该漏洞已在 Serv-U 15.4.2 hotfix 2 中得到解决。
虽然供应商没有分享有关 CVE-2024-28995 的更多详细信息,但 Rapid7 上周在成功利用 Windows 和 Linux 上的该问题后发布了一份技术文章,使用了设备的 15.4.2.126 版本并启用了所有默认安装选项。
该网络安全公司警告称,该安全漏洞很容易被利用,如果攻击者知道路径并且文件未被锁定,未经身份验证的攻击者就可以读取磁盘上的任何文件。
该网络安全公司还警告称,该漏洞可能很快就会被利用,并敦促 SolarWinds 客户尽快将其 Serv-U 实例更新至版本 15.4.2 Hotfix 2(15.4.2.157),因为它可以完全解决该漏洞。
GreyNoise 表示,对 CVE-2024-28995 的利用始于周末,就在 Rapid7 发布针对该漏洞的详细信息和 PoC 代码后不久。另一位研究人员还发布了一个 PoC 漏洞利用程序以及一个扫描仪。
一些观察到的攻击尝试使用了公开可用的 PoC 漏洞副本并失败了,而其他攻击则表现出了持久性和对攻击方法的更好理解。大多数攻击针对的是凭据、Serv-U FTP 服务器启动日志和 Windows 配置设置。
GreyNoise 表示,其中一名攻击者可能是说中文的人,他亲自在键盘上操作,在每次失败的尝试中不断改进漏洞,并在四个小时内试验了各种有效载荷。
原文始发于微信公众号(河南等级保护测评):FTP 服务器Serv-U漏洞被利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论