ClickCease Attaque de SolarWinds : Exploitation active de la vulnérabilité Serv-U - TuxCare

Vérifier le statut des CVE. En savoir plus.

Une vulnérabilitéimportante dans lelogiciel de transfert de fichiers Serv-U de SolarWindsa récemment été corrigée. La vulnérabilité, identifiée comme CVE-2024-28995, a un score CVSS de 8.6, indiquant sa gravité élevée, et est activement exploitée. Pour éviter qu'elle ne soit exploitée, les organisations devraient mettre à jour leur système avec la dernière version. Cette attaque de SolarWinds, un bug de traversée de répertoire, permet aux attaquants d'accéder à des fichiers sensibles sur la machine hôte, ce qui peut entraîner de graves failles de sécurité. Jetons un coup d'œil à l'analyse approfondie de l'attaque SolarWinds pour en comprendre l'impact et prévenir de futures brèches.

Versions affectées et détails du correctif

Cette faille affecte toutes les versions du logiciel Serv-U jusqu'à Serv-U 15.4.2 HF 1 inclus. SolarWinds a résolu ce problème dans sa dernière version, Serv-U 15.4.2 HF 2 (15.4.2.157), qui a été mise à disposition au début de ce mois. Les utilisateurs des produits suivants sont particulièrement vulnérables :

  • Serveur FTP Serv-U 15.4
  • Passerelle Serv-U 15.4
  • Serveur Serv-U MFT 15.4
  • Serveur de fichiers Serv-U 15.4

SolarWinds Attack - Découverte et exploitation

C'est à Hussein Daher, chercheur en sécurité chez Web Immunify, que l'on doit la découverte et le signalement de cette faille de grande gravité. À la suite de la divulgation publique, des informations techniques détaillées et un exploit de démonstration de faisabilité ont été publiés, ce qui a permis à un plus grand nombre d'attaquants d'exploiter cette vulnérabilité. La société de cybersécurité Rapid7 a décrit la vulnérabilité comme étant facile à exploiter, permettant à des attaquants externes non authentifiés de lire n'importe quel fichier sur le disque, à condition qu'ils connaissent le chemin d'accès au fichier et que le fichier ne soit pas verrouillé.

Impact et menaces

Selon Rapid7, les problèmes de divulgation d'informations de haute sévérité tels que CVE-2024-28995 sont souvent utilisés dans des attaques de type "smash-and-grab". Dans ces attaques de hackers solarwinds, les adversaires exfiltrent rapidement les données des solutions de transfert de fichiers pour extorquer les victimes. Bien que cette faille particulière ne soit pas une attaque par exécution de code à distance, les vulnérabilités des logiciels de transfert de fichiers peuvent souvent servir de tremplin à des exploits plus graves, y compris l'exécution de code à distance, en particulier lorsqu'elles sont associées à d'autres failles.

Au cours des dernières années, les produits de transfert de fichiers ont souvent été la cible de divers adversaires, y compris des groupes de ransomware.

La société de renseignement sur les menaces GreyNoise a signalé que les attaquants ont déjà commencé à exploiter le logiciel malveillant solarwinds. Des attaques opportunistes ont été observées contre les serveurs de GreyNoise, les attaquants tentant d'accéder à des fichiers sensibles tels que /etc/passwd. Certaines de ces attaques sont remontées jusqu'à des sources en Chine.

Résumé de l'attaque de Solarwinds

Compte tenu de l'historique des vulnérabilités non corrigées dans le logiciel Serv-U exploitées par les acteurs de la menace, il est crucial que les utilisateurs appliquent immédiatement les dernières mises à jour. La disponibilité de PoC accessibles au public réduit considérablement la barrière pour les acteurs malveillants, ce qui leur permet d'exploiter plus facilement cette faille.

Naomi Buckwalter, directrice de la sécurité des produits chez Contrast Security, a souligné que cette vulnérabilité pouvait servir de porte d'entrée à d'autres attaques. En accédant à des informations sensibles telles que les identifiants et les fichiers système, les attaquants peuvent utiliser ces données pour lancer des attaques plus importantes, une méthode connue sous le nom de "chaînage". Il pourrait en résulter une compromission plus large, affectant d'autres systèmes et applications.

Conclusion

L'exploitation récente de la vulnérabilité CVE-2024-28995 dans le logiciel Serv-U de SolarWinds souligne le besoin critique de correctifs en temps opportun et de mesures de sécurité robustes. Alors que les cybermenaces continuent d'évoluer, il est essentiel de maintenir les systèmes à jour et d'appliquer rapidement les correctifs de sécurité pour protéger les informations sensibles et assurer la continuité des activités.

Les utilisateurs des produits Serv-U doivent en priorité mettre à jour leur système avec la dernière version afin de limiter les risques potentiels et de se protéger contre les attaques malveillantes. Restez informé des dernières nouvelles sur les attaques solarwinds et protégez vos systèmes contre les menaces émergentes.

Les sources de cet article comprennent des articles parus dans The Hacker News et TechTarget.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, sans interruption du système ou sans fenêtres de maintenance programmées ?

En savoir plus sur le Live Patching avec TuxCare

Table des matières

Obtenez les réponses à vos questions sur la sécurité des logiciels libres

Posez-nous une question

Rejoignez notre bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.