ClickCease Ataque a SolarWinds: Explotación activa de la vulnerabilidad Serv-U - TuxCare

Compruebe el estado de las CVE. Más información.

Recientemente se ha parcheado una importante vulnerabilidad enel software de transferencia de archivos Serv-U de SolarWinds. La vulnerabilidad, identificada como CVE-2024-28995, tiene una puntuación CVSS de 8,6, lo que indica su alta gravedad, y está siendo explotada activamente. Para evitar su explotación, las organizaciones deberían actualizar a la última versión. Este ataque de SolarWinds, un error de cruce de directorios, permite a los atacantes acceder a archivos confidenciales en la máquina anfitriona, lo que puede conducir a graves brechas de seguridad. Echemos un vistazo al análisis en profundidad del ataque a SolarWinds para comprender el impacto y prevenir futuras brechas.

Versiones afectadas y detalles del parche

El fallo afecta a todas las versiones del software Serv-U hasta la 15.4.2 HF 1 inclusive. SolarWinds ha solucionado este problema en su última versión, Serv-U 15.4.2 HF 2 (15.4.2.157), que estuvo disponible a principios de este mes. Los usuarios de los siguientes productos son especialmente vulnerables:

  • Servidor FTP Serv-U 15.4
  • Pasarela Serv-U 15.4
  • Servidor Serv-U MFT 15.4
  • Servidor de archivos Serv-U 15.4

SolarWinds Attack - Descubrimiento y explotación

Se atribuye a Hussein Daher, investigador de seguridad de Web Immunify, el descubrimiento y la notificación del fallo de alta gravedad. Tras la divulgación pública, se publicó información técnica detallada y un exploit de prueba de concepto (PoC), lo que permitió a un mayor número de atacantes aprovechar esta vulnerabilidad. La empresa de ciberseguridad Rapid7 ha descrito la vulnerabilidad como fácil de explotar, ya que permite a atacantes externos no autentificados leer cualquier archivo del disco, siempre que conozcan la ruta del archivo y éste no esté bloqueado.

Impacto y panorama de amenazas

Según Rapid7, los problemas de divulgación de información de alta gravedad, como CVE-2024-28995, se utilizan a menudo en ataques de tipo "smash-and-grab". En estos ataques de hackers solarwinds, los adversarios extraen rápidamente datos de soluciones de transferencia de archivos para extorsionar a las víctimas. Aunque este fallo en particular no es un ataque de ejecución remota de código, las vulnerabilidades en el software de transferencia de archivos a menudo pueden servir como trampolín para exploits más graves, incluyendo RCE, especialmente cuando se encadenan con otros fallos.

En los últimos años, los productos de transferencia de archivos han sido un objetivo frecuente para varios adversarios, incluidos los grupos de ransomware.

La empresa de inteligencia de amenazas GreyNoise ha informado de que los atacantes ya han empezado a aprovechar el malware de ataque solarwinds. Se han observado ataques oportunistas contra los servidores honeypot de GreyNoise, en los que los atacantes intentan acceder a archivos sensibles como /etc/passwd. Algunos de estos ataques se han rastreado hasta fuentes en China.

Resumen de ataques de Solarwinds

Dado el historial de vulnerabilidades no parcheadas en el software Serv-U explotadas por agentes de amenazas, es crucial que los usuarios apliquen inmediatamente las últimas actualizaciones. La disponibilidad de PoCs de acceso público reduce significativamente la barrera para los actores maliciosos, por lo que es más fácil para ellos explotar este fallo.

Naomi Buckwalter, directora de seguridad de productos de Contrast Security, destacó el potencial de esta vulnerabilidad para servir de puerta de entrada a nuevos ataques. Al obtener acceso a información sensible como credenciales y archivos del sistema, los atacantes pueden utilizar estos datos para lanzar ataques más extensos, un método conocido como "encadenamiento". Esto podría dar lugar a un compromiso más amplio, afectando a otros sistemas y aplicaciones.

Conclusión

La reciente explotación de la vulnerabilidad CVE-2024-28995 en el software Serv-U de SolarWinds subraya la necesidad crítica de aplicar parches a tiempo y adoptar medidas de seguridad sólidas. Dado que las ciberamenazas siguen evolucionando, mantener los sistemas actualizados y aplicar los parches de seguridad con prontitud es esencial para salvaguardar la información confidencial y garantizar la continuidad de la actividad empresarial.

Los usuarios de productos Serv-U deben priorizar la actualización a la última versión para mitigar los riesgos potenciales y protegerse contra ataques maliciosos. Manténgase informado con las últimas noticias sobre ataques solarwinds y proteja sus sistemas de las amenazas emergentes.

Las fuentes de este artículo incluyen artículos en The Hacker News y TechTarget.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Índice

Obtenga las respuestas de seguridad de código abierto que necesita

Haznos una pregunta

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.