Исследователи из компанииGreyNoise, специализирующейся на разведке угроз, сообщили в своёмнедавнем отчёте,что злоумышленники активно используют общедоступный эксплойт для уязвимостиCVE-2024-28995в программном обеспечении SolarWinds Serv-U. CVE-2024-28995 представляет собой уязвимость высокого уровня критичности (8.6 баллов по CVSS), связанную с обходом каталогов, которая позволяет злоумышленникам читать чувствительные файлы на хост-машине. Уязвимость была раскрыта 6 июня и затрагивает версии Serv-U 15.4.2 HF 1 и предыдущие, пишет Securitylab. Специалисты GreyNoise начали расследование после того, как компанияRapid7опубликовалатехнические детали иPoC-код эксплойта. Пользователь GitHub с ником «bigb0x» также поделился PoC и сканером для массового поиска уязвимости в SolarWinds Serv-U. «Уязвимость очень проста и осуществляется через GET-запрос к корню (/) с аргументами InternalDir и InternalFile, установленными на нужный файл», — сообщили в GreyNoise. «Идея заключается в том, что InternalDir — это папка, и проверяется отсутствие сегментов обхода пути (../), в то время как InternalFile — это имя файла». Исследователи GreyNoise начали наблюдать попытки эксплуатации этой уязвимости в прошлые выходные (15-16 июня). Некоторые неудачные попытки опирались на копии общедоступных PoC-эксплойтов, а другие были связаны с хакерами, имеющими более глубокие знания об атаке. Специалисты отмечают, что попытки эксплуатации продолжаются и могут привести к серьёзным последствиям для безопасности. Они рекомендуют администраторам систем, использующих SolarWinds Serv-U, как можно скорее обновить программное обеспечение до последних версий, чтобы устранить уязвимость CVE-2024-28995.
Хакеры используют общедоступный эксплойт для проникновения в SolarWinds Serv-U
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Правилах сервиса