Các tác nhân đe dọa đang khai thác lỗ hổng path traversal SolarWinds Serv-U, lạm dụng các mã khai thác (PoC) có sẵn công khai.
Hoạt động tấn công được phát hiện cho thấy rủi ro từ các thiết bị chưa được vá, nhấn mạnh nhu cầu cấp thiết của quản trị viên trong việc áp dụng các bản cập nhật bảo mật.
Lỗ hổng được đề cập có định danh CVE-2024-28995, một lỗi directory traversal có độ nghiêm trọng mức cao, cho phép kẻ tấn công không cần xác thực tùy ý đọc các tệp trên hệ thống bị ảnh hưởng.
Lỗ hổng phát sinh do thiếu kiểm tra, sàng lọc dữ liệu đường dẫn tệp (path) do người dùng cung cấp, cho phép kẻ tấn công vượt qua kiểm tra bảo mật và truy cập vào các tệp tin nhạy cảm.
Lỗ hổng ảnh hưởng đến các sản phẩm SolarWinds sau:
- Máy chủ FTP Serv-U 15.4
- Serv-U Gateway 15.4
- Máy chủ MFT Serv-U 15.4
- Máy chủ tệp Serv-U từ 15.4.2.126 trở về trước
Các phiên bản cũ hơn (từ 15.3.2 trở về trước) cũng bị ảnh hưởng nhưng hiện không còn được hỗ trợ cập nhật bản vá nữa.
Việc khai thác lỗ hổng có thể làm lộ dữ liệu nhạy cảm do truy cập tệp trái phép, có nguy cơ dẫn đến sự xâm phạm trong thời gian dài.
SolarWinds đã phát hành bản vá khẩn cấp 15.4.2 Hotfix 2, phiên bản 15.4.2.157, vào ngày 5 tháng 6 năm 2024 để giải quyết lỗ hổng này bằng cách cải thiện các cơ chế kiểm tra dữ liệu.
Mã khai thác có sẵn công khai
Cuối tuần trước, các nhà phân tích của Rapid7 đã phát hành một bài viết kỹ thuật cung cấp các bước chi tiết để khai thác lỗ hổng path traversal trong SolarWinds Serv-U để đọc các tệp tùy ý từ hệ thống bị ảnh hưởng.
Một ngày sau đó, một nhà nghiên cứu người Ấn Độ đã phát hành mã khai thác (PoC) và công cụ quét cho CVE-2024-28995 trên GitHub.
Hôm thứ Hai, Rapid7 đã cảnh báo về mức độ dễ bị khai thác của lỗ hổng này, ước tính số trường hợp có khả năng bị tấn công trên Internet trong khoảng từ 5.500 đến 9.500 máy chủ.
GreyNoise đã thiết lập một honeypot mô phỏng hệ thống Serv-U dễ bị tấn công để giám sát và phân tích các nỗ lực khai thác CVE-2024-28995.
Các nhà phân tích đã quan sát thấy các chiến lược tấn công khác nhau, bao gồm các hành động khai thác theo cách thủ công và tự động.
Kẻ tấn công sử dụng các chuỗi đường dẫn traversal đặc thù của từng nền tảng, vượt qua các kiểm tra bảo mật bằng cách sử dụng các dấu gạch chéo không chính xác, mà hệ thống Serv-U sau đó sẽ tự động sửa, cho phép truy cập tệp trái phép.
Các payload điển hình trên Windows là 'GET /?InternalDir=/../../../../windows&InternalFile=win.ini' và trên Linux là 'GET /?InternalDir=\..\..\..\ ..\etc&InternalFile=passwd'.
Các tệp tin bị nhắm mục tiêu nhiều nhất là:
- \etc/passwd (chứa dữ liệu tài khoản người dùng trên Linux)
- /ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (chứa thông tin nhật ký khởi động cho máy chủ FTP Serv-U)
- /windows/win.ini (tệp khởi tạo chứa cài đặt cấu hình Windows)
Những kẻ tấn công nhắm mục tiêu vào các tệp này để nâng cao quyền hạn của chúng hoặc tìm kiếm các cơ hội khai thác bổ sung trong mạng bị xâm phạm.
Trước các cuộc tấn công đang diễn ra, quản trị viên cần áp dụng các bản vá có sẵn càng sớm càng tốt để giảm thiểu các nguy cơ tiềm ẩn liên quan đến lỗ hổng.
Nguồn: bleepingcomputer.com.
Sàn giao dịch tiền điện tử Kraken tiết lộ rằng một nhà nghiên cứu bảo mật ẩn danh đã khai thác lỗ hổng zero-day “cực kỳ nghiêm trọng” trong nền tảng của họ để đánh cắp 3 triệu đô la tài sản số và từ chối trả lại chúng.
VMware đã phát hành tư vấn bảo mật giải quyết các lỗ hổng nghiêm trọng trong vCenter Server, bao gồm lỗi thực thi mã từ xa và các lỗi leo thang đặc quyền cục bộ.
Tín nhiệm mạng | Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các tập lệnh PowerShell độc hại nhằm cài đặt phần mềm độc hại.
NHS England tiết lộ rằng nhiều bệnh viện ở London bị ảnh hưởng bởi cuộc tấn công ransomware vào Synnovis xảy ra vào đầu tháng này khiến phải hủy hàng trăm ca phẫu thuật và cuộc hẹn đã được lên kế hoạch.
Mới đây, quản lý của Arlington (Massachusetts, Hoa Kỳ) - ông Jim Feeney cho biết thị trấn đã phải chịu tổn thất về mặt tài chính sau khi mắc bẫy lừa đảo của một nhóm tin tặc mạo danh đơn vị cung cấp vật liệu xây dựng. Được biết, thị trấn đã bị lừa chuyển tiền theo định kỳ hàng tháng nhằm phục vụ cho quá trình xây dựng trường học.
Mới đây, chính quyền Ấn Độ đã cảnh báo về việc xuất hiện hình thức lừa đảo thông qua những tin nhắn mời gọi làm việc tại nhà, hứa hẹn người tham gia sẽ được trả mức lương vô cùng hấp dẫn.