21 de junio de 2024Sala de prensaVulnerabilidad/Protección de datos Una falla de alta gravedad recientemente reparada que afecta al software de transferencia de archivos SolarWinds Serv-U está siendo explotada activamente por actores maliciosos en la naturaleza. La vulnerabilidad, registrada como CVE-2024-28995 (puntuación CVSS: 8,6), se refiere a un error transversal del directorio que podría permitir a los atacantes leer archivos confidenciales en la máquina host. Afectando a todas las versiones del software anteriores a Serv-U 15.4.2 HF 1 incluida, la compañía lo abordó en la versión Serv-U 15.4.2 HF 2 (15.4.2.157) lanzada a principios de este mes. La lista de productos susceptibles a CVE-2024-28995 se encuentra a continuación: Serv-U FTP Server 15.4 Serv-U Gateway 15.4 Serv-U MFT Server 15.4 y Serv-U File Server 15.4 Se le atribuye al investigador de seguridad Hussein Daher de Web Immunify descubrir y reportar la falla. Tras la divulgación pública, se han puesto a disposición detalles técnicos adicionales y un exploit de prueba de concepto (PoC). La empresa de ciberseguridad Rapid7 describió la vulnerabilidad como trivial de explotar y que permite a atacantes externos no autenticados leer cualquier archivo arbitrario en el disco, incluidos archivos binarios, suponiendo que conozcan la ruta a ese archivo y que no esté bloqueado. «Los problemas de divulgación de información de alta gravedad como CVE-2024-28995 se pueden utilizar en ataques de destrucción y captura donde los adversarios obtienen acceso e intentan exfiltrar rápidamente datos de las soluciones de transferencia de archivos con el objetivo de extorsionar a las víctimas», dijo. «Los productos de transferencia de archivos han sido atacados por una amplia gama de adversarios en los últimos años, incluidos grupos de ransomware». De hecho, según la firma de inteligencia de amenazas GreyNoise, los actores de amenazas ya han comenzado a realizar ataques oportunistas armando la falla contra sus servidores honeypot para acceder a archivos confidenciales como /etc/passwd, y también se registraron intentos desde China. Dado que los actores de amenazas han explotado fallas anteriores en el software Serv-U, es imperativo que los usuarios apliquen las actualizaciones lo antes posible para mitigar las amenazas potenciales. «El hecho de que los atacantes estén utilizando PoC disponibles públicamente significa que la barrera de entrada para los actores maliciosos es increíblemente baja», dijo Naomi Buckwalter, directora de seguridad de productos de Contrast Security, en un comunicado compartido con The Hacker News. «La explotación exitosa de esta vulnerabilidad podría ser un trampolín para los atacantes. Al obtener acceso a información confidencial como credenciales y archivos del sistema, los atacantes pueden usar esa información para lanzar más ataques, una técnica llamada ‘encadenamiento’. Esto puede llevar a un compromiso más generalizado, impactando potencialmente a otros sistemas y aplicaciones». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.