最后更新于2024年6月17日星期一20:25:52 GMT
2024年6月5日,太阳风公司 披露 cve - 2024 - 28995, 一个严重的目录遍历漏洞,影响他们的Serv-U文件传输服务器, 这是进来的 两个版本 (Serv-U FTP和Serv-U MFT). 成功利用该漏洞允许未经身份验证的攻击者读取目标服务器上的敏感文件. Rapid7的漏洞研究团队已经复制了这个漏洞,并确认它是可以轻易利用的,并且允许外部未经身份验证的攻击者读取磁盘上的任何文件, 包括二进制文件, 只要他们知道路径并且文件没有被锁定(i.e.(由别的东西独占地打开).
截至美国东部时间6月11日上午9点,cve - 2024 - 28995尚未在野外被利用. We expect this to change; Rapid7 recommends installing the vendor-provided hotfix (Serv-U 15.4.2 HF 2),而无需等待正常的补丁周期发生.
像cve - 2024 - 28995这样的高严重性信息泄露问题可以用于粉碎和抓取攻击,攻击者可以访问并试图快速从文件传输解决方案中窃取数据,目的是勒索受害者. 在过去的几年里,文件传输产品一直是众多对手的攻击目标, 包括勒索软件组织.
SolarWinds Serv-U的互联网曝光估计根据所使用的查询有很大的不同.g., 9,470个Serv-U实例比1个计数. 5434使用不同的查询. (注意,暴露并不一定意味着脆弱.)
缓解指导
SolarWinds servu - 15.4.2 HF 1和以前的版本容易受到cve - 2024 - 28995的攻击 供应商咨询. 该漏洞已被修复 SolarWinds servu - 15.4.2 HF 2. SolarWinds Serv-U客户应立即应用供应商提供的修复程序.
Rapid7客户
InsightVM和expose客户可以在周一使用未经身份验证的漏洞检查来评估他们对cve - 2024 - 28995的暴露情况, 6月10日内容发布.
通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测程序的非详尽列表,可能会对与此漏洞相关的利用后行为发出警报:
- 可疑的Web服务器请求-成功的路径遍历攻击
