Компания SolarWinds выпустила обновления безопасности для устранения четырех критических уязвимостей удаленного выполнения кода в Serv-U, которые могут предоставить злоумышленникам доступ уровня root к необновленным серверам.
Serv-U — это программное обеспечение компании для самостоятельного размещения файлов в средах Windows и Linux, которое включает возможности как управляемого обмена файлами (MFT), так и FTP-сервера, позволяя организациям безопасно обмениваться файлами по протоколам FTP, FTPS, SFTP и HTTP/S.
Самая серьезная из четырех уязвимостей безопасности, исправленных SolarWinds сегодня в Serv-U 15.5.4, отслеживается как CVE-2025-40538, и она позволяет злоумышленникам с высокими привилегиями получить права root или администратора на уязвимых серверах.
“В Serv-U существует уязвимость, связанная с нарушением контроля доступа, которая при эксплуатации дает злоумышленнику возможность создать системного администратора и выполнять произвольный код от имени root через привилегии администратора домена или группы”, — сообщила SolarWinds во вторник в своем уведомлении.
Компания также устранила две уязвимости типа “путаница типов” (type confusion) и уязвимость “небезопасная прямая ссылка на объект” (IDOR), которые могут быть использованы для получения выполнения кода с привилегиями root.
К счастью, для эксплуатации всех четырех уязвимостей злоумышленникам уже требуются высокие привилегии на целевых серверах, что ограничит потенциальные попытки эксплуатации сценариями, где атакующие могут объединять уязвимости повышения привилегий или использовать ранее похищенные учетные данные администратора.
Shodan в настоящее время отслеживает более 12 000 серверов Serv-U, доступных из Интернета, в то время как Shadowserver оценивает это число менее чем в 1 200.
Программное обеспечение для передачи файлов, такое как SolarWinds Serv-U, часто становится целью атак, поскольку оно обеспечивает легкий доступ к документам, которые могут содержать конфиденциальные корпоративные данные и данные клиентов.
За последние пять лет различные группы киберпреступников и спонсируемые государствами хакеры использовали уязвимости Serv-U в атаках по краже данных. Группа Clop эксплуатировала уязвимость удаленного выполнения кода в Serv-U Secure FTP (CVE-2021-35211) для взлома корпоративных сетей в рамках атак программ-вымогателей.
Китайские хакеры (отслеживаемые Microsoft как DEV-0322), известные тем, что в основном нацеливаются на американские оборонные и программные компании, также развертывали эксплойты CVE-2021-35211 в атаках нулевого дня начиная с июля 2021 года.
Совсем недавно, в июне 2024 года, компании по кибербезопасности Rapid7 и GreyNoise зафиксировали уязвимость обхода пути (path-traversal) в SolarWinds Serv-U (CVE-2024-28995) как активно эксплуатируемую злоумышленниками, которые использовали общедоступные эксплойты с доказательством концепции (PoC).
Агентство по кибербезопасности и защите инфраструктуры США (CISA) в настоящее время отслеживает девять уязвимостей безопасности SolarWinds, которые были или все еще активно эксплуатируются в реальных атаках.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
