¡Alerta Cibernética! Vulnerabilidad de SolarWinds Serv-U bajo ataque activo: es momento de actualizar
Si tienes instalado algún software de transferencia de archivos SolarWinds Serv-U en tu sistema, te recomiendo que prestes mucha atención a esta entrada. Existe una vulnerabilidad de alto riesgo, identificada como CVE-2024-28995, que está siendo explotada por actores malintencionados en este preciso instante. Para solucionar esta vulnerabilidad, es imprescindible instalar de inmediato el parche que se ha liberado hace poco.
Un poco de contexto técnico: esta vulnerabilidad está relacionada con un error de transversal de directorios que permitiría a los atacantes leer archivos sensibles en la máquina anfitriona. Todas las versiones de SolarWinds Serv-U previas e incluyendo la 15.4.2 HF 1 son susceptibles a este fallo. Por fortuna, SolarWinds ha lanzado ya una actualización que soluciona este problema: la versión Serv-U 15.4.2 HF 2 (15.4.2.157).
Los productos que podrían verse afectados por CVE-2024-28995 son:
- Serv-U FTP Server 15.4
- Serv-U Gateway 15.4
- Serv-U MFT Server 15.4
- Serv-U File Server 15.4
Hussein Daher, investigador de seguridad de la compañía Web Immunify, fue quien descubrió y reportó esta falla. Desde su divulgación pública, se han compartido detalles técnicos adicionales y una prueba de concepto (PoC) de explotación.
El consenso de la comunidad de ciberseguridad, incluyendo a Rapid7, es que esta vulnerabilidad es sencilla de explotar. Los atacantes externos y no autenticados pueden leer cualquier archivo en el disco, incluyendo los binarios, siempre que conozcan la ruta al archivo y este no esté bloqueado.
Hablo de un problema de alta gravedad ya que este tipo de debilidades pueden ser utilizadas en ataques rápidos y masivos donde los adversarios buscan acceder y sacar datos de soluciones de transferencia de archivos para luego extorsionar a las víctimas. En años recientes, los productos de transferencia de archivos han sido objeto de ataque de diversos actores, incluyendo los grupos de ransomware.
Por cierto, según la firma de inteligencia de amenazas GreyNoise, los actores de amenazas ya han empezado a lanzar ataques oportunistas explotando esta falla. Han registrado intentos de acceso a archivos sensibles como /etc/passwd, con algunos ataques detectados desde China.
Es imprescindible que, si eres usuario de Serv-U, apliques las actualizaciones lo más pronto posible para mitigar amenazas potenciales. Naomi Buckwalter, Directora de Seguridad de Productos en Contrast Security, nos recuerda que “el hecho de que los atacantes estén utilizando Pruebas de Concepto públicamente disponibles significa que la barrera de entrada para actores maliciosos es increíblemente baja.”
En resumen, el usuario promedio de SolarWinds Serv-U debe actuar proactivamente y actualizar sus sistemas de inmediato. Así se reduce el riesgo de que esta vulnerabilidad sea una puerta de entrada para ataques posteriores. Si los atacantes logran acceder a información sensible como credenciales y archivos de sistema, pueden usar esa información para lanzar otros ataques, una técnica conocida como “encadenamiento”. Esto puede desembocar en compromisos más amplios, que potencialmente podrían impactar otros sistemas y aplicaciones.
Comparte este artículo en tus redes sociales y mantente seguro en línea. No olvides seguirnos para estar al tanto de noticias y contenido exclusivo en el mundo de la ciberseguridad. ¡Hasta la próxima!