FTP 服务器Serv-U漏洞被利用

威胁情报公司 GreyNoise 报告称，威胁行为者正在利用公共概念验证 (PoC) 代码，首次尝试利用最近修补的 SolarWinds Serv-U 漏洞。

被利用的漏洞编号为 CVE-2024-28995，是一个高严重性目录横向漏洞，允许攻击者读取主机上的敏感文件。

概述 2024 年 6 月 5 日，SolarWinds 发布了一份针对 CVE-2024-28995 的公告，这是一个影响其文件传输解决方案 Serv-U 的高严重性目录遍历漏洞。该漏洞是由Web Immunify的研究员Hussein Daher发现的。 据供应商称，运行于 Windows 或 Linux 上的 Serv-U 以下版本受到影响： Serv-U FTP 服务器 15.4 Serv-U 网关 15.4 Serv-U MFT 服务器 15.4 根据供应商文档，Serv-U 版本15.3.2及更早版本将于 2025 年 2 月终止使用，并且此版本以下的所有版本都已终止使用并且不再受支持。 我们的分析是在运行 SolarWinds Serv-U 文件服务器（64 位）版本的 Windows Server 2022 系统上进行的15.4.2.126。我们还确认了针对在 Linux 上运行的 Serv-U 文件服务器（64 位）版本的攻击15.4.2.126。在这两种情况下，都使用了所有默认安装选项。在 Windows 或 Linux 上运行 Serv-U 时，会创建一个新的 Serv-U 文件传输和文件共享“域”来反映真实世界的部署。 我们已验证供应商提供的修补程序15.4.2 Hotfix 2（版本15.4.2.157）成功修复了此漏洞。

SolarWinds 于 6 月 6 日披露了该漏洞，当时该公司宣布 Serv-U 15.4.2 hotfix 1 及之前的版本（包括 Serv-U FTP Server、Serv-U Gateway 和 Serv-U MFT Server）均受到影响。该漏洞已在 Serv-U 15.4.2 hotfix 2 中得到解决。

虽然供应商没有分享有关 CVE-2024-28995 的更多详细信息，但 Rapid7 上周在成功利用 Windows 和 Linux 上的该问题后发布了一份技术文章，使用了设备的 15.4.2.126 版本并启用了所有默认安装选项。

该网络安全公司警告称，该安全漏洞很容易被利用，如果攻击者知道路径并且文件未被锁定，未经身份验证的攻击者就可以读取磁盘上的任何文件。

该网络安全公司还警告称，该漏洞可能很快就会被利用，并敦促 SolarWinds 客户尽快将其 Serv-U 实例更新至版本 15.4.2 Hotfix 2（15.4.2.157），因为它可以完全解决该漏洞。

GreyNoise 表示，对 CVE-2024-28995 的利用始于周末，就在 Rapid7 发布针对该漏洞的详细信息和 PoC 代码后不久。另一位研究人员还发布了一个 PoC 漏洞利用程序以及一个扫描仪。

一些观察到的攻击尝试使用了公开可用的 PoC 漏洞副本并失败了，而其他攻击则表现出了持久性和对攻击方法的更好理解。大多数攻击针对的是凭据、Serv-U FTP 服务器启动日志和 Windows 配置设置。

GreyNoise 表示，其中一名攻击者可能是说中文的人，他亲自在键盘上操作，在每次失败的尝试中不断改进漏洞，并在四个小时内试验了各种有效载荷。

原文始发于微信公众号（河南等级保护测评）：FTP 服务器Serv-U漏洞被利用