Lỗ hổng path traversal SolarWinds Serv-U đang bị tin tặc khai thác trong thực tế. Vá ngay!

Các tác nhân đe dọa đang khai thác lỗ hổng path traversal SolarWinds Serv-U, lạm dụng các mã khai thác (PoC) có sẵn công khai.

Hoạt động tấn công được phát hiện cho thấy rủi ro từ các thiết bị chưa được vá, nhấn mạnh nhu cầu cấp thiết của quản trị viên trong việc áp dụng các bản cập nhật bảo mật.

Lỗ hổng được đề cập có định danh CVE-2024-28995, một lỗi directory traversal có độ nghiêm trọng mức cao, cho phép kẻ tấn công không cần xác thực tùy ý đọc các tệp trên hệ thống bị ảnh hưởng.

Lỗ hổng phát sinh do thiếu kiểm tra, sàng lọc dữ liệu đường dẫn tệp (path) do người dùng cung cấp, cho phép kẻ tấn công vượt qua kiểm tra bảo mật và truy cập vào các tệp tin nhạy cảm.

Lỗ hổng ảnh hưởng đến các sản phẩm SolarWinds sau:

- Máy chủ FTP Serv-U 15.4

- Serv-U Gateway 15.4

- Máy chủ MFT Serv-U 15.4

- Máy chủ tệp Serv-U từ 15.4.2.126 trở về trước

Các phiên bản cũ hơn (từ 15.3.2 trở về trước) cũng bị ảnh hưởng nhưng hiện không còn được hỗ trợ cập nhật bản vá nữa.

Việc khai thác lỗ hổng có thể làm lộ dữ liệu nhạy cảm do truy cập tệp trái phép, có nguy cơ dẫn đến sự xâm phạm trong thời gian dài.

SolarWinds đã phát hành bản vá khẩn cấp 15.4.2 Hotfix 2, phiên bản 15.4.2.157, vào ngày 5 tháng 6 năm 2024 để giải quyết lỗ hổng này bằng cách cải thiện các cơ chế kiểm tra dữ liệu.

Mã khai thác có sẵn công khai

Cuối tuần trước, các nhà phân tích của Rapid7 đã phát hành một bài viết kỹ thuật cung cấp các bước chi tiết để khai thác lỗ hổng path traversal trong SolarWinds Serv-U để đọc các tệp tùy ý từ hệ thống bị ảnh hưởng.

Một ngày sau đó, một nhà nghiên cứu người Ấn Độ đã phát hành mã khai thác (PoC) và công cụ quét cho CVE-2024-28995 trên GitHub.

Hôm thứ Hai, Rapid7 đã cảnh báo về mức độ dễ bị khai thác của lỗ hổng này, ước tính số trường hợp có khả năng bị tấn công trên Internet trong khoảng từ 5.500 đến 9.500 máy chủ.

GreyNoise đã thiết lập một honeypot mô phỏng hệ thống Serv-U dễ bị tấn công để giám sát và phân tích các nỗ lực khai thác CVE-2024-28995.

Các nhà phân tích đã quan sát thấy các chiến lược tấn công khác nhau, bao gồm các hành động khai thác theo cách thủ công và tự động.

Kẻ tấn công sử dụng các chuỗi đường dẫn traversal đặc thù của từng nền tảng, vượt qua các kiểm tra bảo mật bằng cách sử dụng các dấu gạch chéo không chính xác, mà hệ thống Serv-U sau đó sẽ tự động sửa, cho phép truy cập tệp trái phép.

Các payload điển hình trên Windows là 'GET /?InternalDir=/../../../../windows&InternalFile=win.ini' và trên Linux là 'GET /?InternalDir=\..\..\..\ ..\etc&InternalFile=passwd'.

Các tệp tin bị nhắm mục tiêu nhiều nhất là:

- \etc/passwd (chứa dữ liệu tài khoản người dùng trên Linux)

- /ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt (chứa thông tin nhật ký khởi động cho máy chủ FTP Serv-U)

- /windows/win.ini (tệp khởi tạo chứa cài đặt cấu hình Windows)

Những kẻ tấn công nhắm mục tiêu vào các tệp này để nâng cao quyền hạn của chúng hoặc tìm kiếm các cơ hội khai thác bổ sung trong mạng bị xâm phạm.

Trước các cuộc tấn công đang diễn ra, quản trị viên cần áp dụng các bản vá có sẵn càng sớm càng tốt để giảm thiểu các nguy cơ tiềm ẩn liên quan đến lỗ hổng.

Nguồn: bleepingcomputer.com.