CVE-2024-28995: конфиденциальность пользователей SolarWinds висит на волоске

Исследователи из компании GreyNoise, специализирующейся на разведке угроз, сообщили в своём недавнем отчёте, что злоумышленники активно используют общедоступный эксплойт для уязвимости CVE-2024-28995 в программном обеспечении SolarWinds Serv-U.

CVE-2024-28995 представляет собой уязвимость высокого уровня критичности (8.6 баллов по CVSS), связанную с обходом каталогов, которая позволяет злоумышленникам читать чувствительные файлы на хост-машине. Уязвимость была раскрыта 6 июня и затрагивает версии Serv-U 15.4.2 HF 1 и предыдущие.

Специалисты GreyNoise начали расследование после того, как компания Rapid7 опубликовала технические детали и PoC-код эксплойта. Пользователь GitHub с ником «bigb0x» также поделился PoC и сканером для массового поиска уязвимости в SolarWinds Serv-U.

«Уязвимость очень проста и осуществляется через GET-запрос к корню (/) с аргументами InternalDir и InternalFile, установленными на нужный файл», — сообщили в GreyNoise. «Идея заключается в том, что InternalDir — это папка, и проверяется отсутствие сегментов обхода пути (../), в то время как InternalFile — это имя файла».

Исследователи GreyNoise начали наблюдать попытки эксплуатации этой уязвимости в прошлые выходные (15-16 июня). Некоторые неудачные попытки опирались на копии общедоступных PoC-эксплойтов, а другие были связаны с хакерами, имеющими более глубокие знания об атаке.

Специалисты отмечают, что попытки эксплуатации продолжаются и могут привести к серьёзным последствиям для безопасности. Они рекомендуют администраторам систем, использующих SolarWinds Serv-U, как можно скорее обновить программное обеспечение до последних версий, чтобы устранить уязвимость CVE-2024-28995.