Les auteurs de menaces exploitent activement une vulnérabilité de traversée de chemin SolarWinds Serv-U, en tirant parti des exploits de preuve de concept (PoC) accessibles au public.

Bien que les attaques ne semblent pas particulièrement sophistiquées, l’activité observée souligne le risque posé par les terminaux non corrigés, soulignant le besoin urgent pour les administrateurs d’appliquer les mises à jour de sécurité.

La faille CVE-2024-28995
La vulnérabilité, CVE-2024-28995, est une faille de traversée de répertoire de gravité élevée, permettant à des attaquants non authentifiés de lire des fichiers arbitraires à partir du système de fichiers en créant des requêtes HTTP GET spécifiques.

La vulnérabilité provient d’une validation insuffisante des séquences de traversée de chemin, permettant aux attaquants de contourner les contrôles de sécurité et d’accéder aux fichiers sensibles.

La faille affecte les produits SolarWinds suivants:

  • Serveur FTP Serveur 15.4
  • Passerelle Serv-U 15.4
  • Serveur MFT Serveur 15.4
  • Serveur de fichiers Serv-U 15.4.2.126 et versions antérieures

Les anciennes versions (15.3.2 et antérieures) sont également affectées mais arriveront en fin de vie en février 2025 et ne sont déjà pas prises en charge.

L’exploitation de la faille peut exposer des données sensibles à un accès non autorisé aux fichiers, entraînant potentiellement une compromission étendue.

SolarWinds a publié le correctif logiciel 15.4.2 2, version 15.4.2.157, le 5 juin 2024, pour remédier à cette vulnérabilité en introduisant des mécanismes de validation améliorés.

Exploits publics disponibles
Au cours du week-end, les analystes de Rapid7 ont publié une rédaction technique qui fournissait des étapes détaillées pour exploiter la vulnérabilité de traversée de répertoires dans SolarWinds Serv-U pour lire des fichiers arbitraires à partir du système affecté.

Un jour plus tard, un chercheur indien indépendant a publié un exploit PoC et un scanner en masse pour CVE-2024-28995 sur GitHub.

Lundi, Rapid7 a averti de la banalité de l’exploitation de la faille, estimant le nombre d’instances exposées à Internet et potentiellement vulnérables entre 5 500 et 9 500.

Commande Curl PoC

Grey Noise a configuré un pot de miel qui imite un système Serv-U vulnérable pour surveiller et analyser les tentatives d’exploitation pour CVE-2024-28995.

Les analystes ont observé diverses stratégies d’attaque, y compris des actions pratiques au clavier indiquant des tentatives manuelles d’exploiter la vulnérabilité, ainsi que des tentatives automatisées.

Les attaquants utilisent des séquences de traversée de chemin spécifiques à la plate-forme, contournant les contrôles de sécurité à l’aide de barres obliques incorrectes, que le système Serv-U corrige ultérieurement, permettant un accès non autorisé aux fichiers.

Les charges utiles typiques sur Windows sont  » GET/?InternalDir=/../../../../windows et fichier interne = gagner.ini ‘et sous Linux c’est’ OBTENIR/?InternalDir=……..\etc & Fichier interne = mot de passe.’

Tentatives d’exploitation sous Windows et Linux

Les fichiers les plus fréquemment ciblés par le bruit gris sont:

  • \etc / passwd (contient les données du compte utilisateur sous Linux)
  • /Données du programme / RhinoSoft / Serv-U / Serv-U-Journal de démarrage.txt (contient des informations sur les journaux de démarrage du serveur FTP Serv-U)
  • /les fenêtres / gagner.ini (fichier d’initialisation contenant les paramètres de configuration Windows)

Les attaquants ciblent ces fichiers pour augmenter leurs privilèges ou explorer des opportunités secondaires dans le réseau piraté.

Bruit gris signale les cas où les attaquants semblent copier-coller des exploits sans les tester, ce qui entraîne des tentatives infructueuses.

Dans d’autres tentatives d’exploitation en provenance de Chine, les attaquants font preuve de persévérance, d’adaptabilité et d’une meilleure compréhension.

Grey Noise dit qu’ils ont expérimenté différentes charges utiles et formats pendant quatre heures et ajusté leur approche en fonction des réponses du serveur.

Avec des attaques confirmées en cours, les administrateurs système doivent appliquer les correctifs disponibles dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *