SolarWinds Serv-U dosya aktarım yazılımını etkileyen, yakın zamanda yamalanan yüksek önemdeki bir kusur, ortalıktaki kötü niyetli aktörler tarafından aktif olarak kullanılıyor.
Şu şekilde izlenen güvenlik açığı: CVE-2024-28995 (CVSS puanı: 8,6), saldırganların ana makinedeki hassas dosyaları okumasına izin verebilecek bir dizin çapraz hatasıyla ilgilidir.
Yazılımın Serv-U 15.4.2 HF 1 öncesi ve dahil tüm sürümlerini etkileyen bu sorun, şirket tarafından bu ayın başlarında yayımlanan Serv-U 15.4.2 HF 2 (15.4.2.157) sürümünde ele alındı.
CVE-2024-28995’e duyarlı ürünlerin listesi aşağıdadır:
- Serv-U FTP Sunucusu 15.4
- Serv-U Ağ Geçidi 15.4
- Serv-U MFT Sunucusu 15.4 ve
- Serv-U Dosya Sunucusu 15.4
Web Immunify’dan güvenlik araştırmacısı Hussein Daher, kusuru keşfetme ve bildirme konusunda itibar kazandı. Kamuya yapılan açıklamanın ardından, ek teknik ayrıntılar ve bir kavram kanıtlama (PoC) istismarı kullanıma sunuldu.
Siber güvenlik firması Rapid7, bu güvenlik açığının istismar edilmesinin önemsiz olduğunu ve kimliği doğrulanmamış harici saldırganların, o dosyanın yolunu bildiklerini ve kilitli olmadığını varsayarak, ikili dosyalar da dahil olmak üzere diskteki herhangi bir dosyayı okumasına izin verdiğini açıkladı.
“CVE-2024-28995 gibi yüksek önemdeki bilgi ifşa sorunları, saldırganların kurbanlara şantaj yapmak amacıyla dosya aktarım çözümlerine erişim sağladığı ve bu çözümlerden hızlı bir şekilde veri sızdırmaya çalıştığı parçala-yakala saldırılarında kullanılabilir” dedi.
“Dosya aktarım ürünleri, fidye yazılımı grupları da dahil olmak üzere son birkaç yılda çok çeşitli düşmanlar tarafından hedef alındı.”
Gerçekten de, tehdit istihbaratı firması GreyNoise’a göre, tehdit aktörleri, Çin’den de kaydedilen girişimlerle, /etc/passwd gibi hassas dosyalara erişmek için honeypot sunucularındaki kusuru silah haline getiren fırsatçı saldırılar düzenlemeye başladı.
Serv-U yazılımındaki önceki kusurların tehdit aktörleri tarafından istismar edilmesi nedeniyle, potansiyel tehditleri azaltmak için kullanıcıların güncellemeleri mümkün olan en kısa sürede uygulaması zorunludur.
Contrast Security ürün güvenliği direktörü Naomi Buckwalter, The Hacker News ile paylaşılan bir açıklamada, “Saldırganların halka açık PoC’leri kullanması, kötü niyetli aktörlerin giriş engelinin inanılmaz derecede düşük olduğu anlamına geliyor.” dedi.
“Bu güvenlik açığının başarılı bir şekilde kullanılması, saldırganlar için bir basamak olabilir. Saldırganlar, kimlik bilgileri ve sistem dosyaları gibi hassas bilgilere erişim sağlayarak, bu bilgileri ‘zincirleme’ adı verilen bir teknikle daha fazla saldırı başlatmak için kullanabilir. Bu, potansiyel olarak diğer sistemleri ve uygulamaları etkileyen daha yaygın bir uzlaşmaya yol açabilir.”