Киберпрестъпниците използват публичен код за доказване на концепцията (PoC) в първите опити за използване на наскоро поправена уязвимост на SolarWinds Serv-U, съобщава компанията за разузнаване на заплахи GreyNoise.
Експлоатираният недостатък, проследен като CVE-2024-28995, е уязвимост с висока степен на пресичане на директории, която позволява на атакуващите да четат чувствителни файлове на хост машината.
SolarWinds разкри грешката на 6 юни, когато обяви, че Serv-U 15.4.2 hotfix 1 и предишните версии, включително Serv-U FTP Server, Serv-U Gateway и Serv-U MFT Server, са засегнати. Грешката е отстранена в Serv-U 15.4.2 hotfix 2.
Въпреки че производителят не сподели повече подробности за CVE-2024-28995, миналата седмица Rapid7 публикува техническо описание след успешно експлоатиране на проблема както в Windows, така и в Linux, като използва версия 15.4.2.126 на устройството с включени всички опции за инсталация по подразбиране.
Фирмата за киберсигурност предупреди, че дефектът в сигурността е тривиално използваем, като позволява на неавтентифициран нападател да прочете всеки файл на диска, ако нападателят знае пътя и файлът не е заключен.
Фирмата за киберсигурност също така предупреди, че недостатъкът скоро може да бъде използван в дивата природа, като призова клиентите на SolarWinds да актуализират своите Serv-U инстанции до версия 15.4.2 Hotfix 2 (15.4.2.157) възможно най-скоро, тъй като тя напълно отстранява грешката.
Според GreyNoise експлоатирането на CVE-2024-28995 е започнало през уикенда, малко след като Rapid7 публикува подробности и PoC код, насочен към него. Друг изследовател също публикува PoC експлойт, заедно със скенер.
Някои от наблюдаваните опити са използвали копия на публично достъпните PoC експлойти и са се провалили, докато други са показали упоритост и по-добро разбиране на метода на атака. Повечето атаки бяха насочени към идентификационни данни, логове за стартиране на FTP сървъра Serv-U и конфигурационни настройки на Windows.
Един от нападателите, вероятно китайски говорещо лице, е видян да извършва практически действия на клавиатурата, да усъвършенства експлойта си при всеки неуспешен опит и да експериментира с различни полезни товари в продължение на четири часа, казва GreyNoise.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.