Исследователи из компании GreyNoise, специализирующейся на разведке угроз, сообщили в своём недавнем отчёте, что злоумышленники активно используют общедоступный эксплойт для уязвимости CVE-2024-28995в программном обеспечении SolarWinds Serv-U.
CVE-2024-28995 представляет собой уязвимость высокого уровня критичности (8.6 баллов по CVSS), связанную с обходом каталогов, которая позволяет злоумышленникам читать чувствительные файлы на хост-машине. Уязвимость была раскрыта 6 июня и затрагивает версии Serv-U 15.4.2 HF 1 и предыдущие.
Специалисты GreyNoise начали расследование после того, как компания Rapid7 опубликовалатехнические детали и PoC-код эксплойта. Пользователь GitHub с ником “bigb0x” также поделился PoC и сканером для массового поиска уязвимости в SolarWinds Serv-U.
“Уязвимость очень проста и осуществляется через GET-запрос к корню (/) с аргументами InternalDir и InternalFile, установленными на нужный файл”, – сообщили в GreyNoise. “Идея заключается в том, что InternalDir – это папка, и проверяется отсутствие сегментов обхода пути (../), в то время как InternalFile – это имя файла”.
Исследователи GreyNoise начали наблюдать попытки эксплуатации этой уязвимости в прошлые выходные (15-16 июня). Некоторые неудачные попытки опирались на копии общедоступных PoC-эксплойтов, а другие были связаны с хакерами, имеющими более глубокие знания об атаке.
Специалисты отмечают, что попытки эксплуатации продолжаются и могут привести к серьёзным последствиям для безопасности. Они рекомендуют администраторам систем, использующих SolarWinds Serv-U, как можно скорее обновить программное обеспечение до последних версий, чтобы устранить уязвимость CVE-2024-28995.