El 21 de junio de 2024, la comunidad de ciberseguridad se vio sorprendida por la noticia de que actores maliciosos están explotando activamente una vulnerabilidad severa en el software de transferencia de archivos SolarWinds Serv-U. Esta vulnerabilidad, identificada como CVE-2024-28995, clasificada con una puntuación CVSS de 8.6, implica un grave problema de error entre directorios, permitiendo a los atacantes acceder y leer archivos confidenciales en la máquina host.
Este problema afecta a todas las versiones anteriores del software, incluyendo Serv-U 15.4.2 HF 1. SolarWinds ha reaccionado rápidamente lanzando un parche para esta vulnerabilidad en el nuevo hotfix Serv-U 15.4.2 HF2, disponible desde principios de este mes. Las autoridades de ciberseguridad han señalado que es crucial que todos los usuarios afecte al producto implementen esta actualización lo más rápido posible para evitar cualquier intento de explotación.
A continuación, se proporciona una lista de los productos afectados por la vulnerabilidad CVE-2024-28995:
- Servidor FTP Serv-U 15.4
- Puerta de enlace Serv-U 15.4
- Servidor Serv-U MFT 15.4
- Servidor de archivos Serv-U 15.4
El investigador de seguridad Hussein Daher de Web Immunify es reconocido por haber descubierto e informado sobre esta vulnerabilidad. Los detalles técnicos y una prueba de concepto (PoC) ya están disponibles tras la divulgación pública. La empresa de ciberseguridad Rapid7 ha calificado esta vulnerabilidad como trivial de explotar, indicando que un atacante no autenticado puede leer cualquier archivo arbitrario en el disco, suponiendo que conozcan la ruta de acceso a este archivo.
«Los problemas de divulgación de información como CVE-2024-28995 pueden ser utilizados en ataques de destrucción y captura, donde los atacantes acceden rápidamente a datos críticos con el fin de extorsionar a las víctimas», advirtieron expertos corporativos.
Recentes informes indican que algunos grupos de ransomware han comenzado a utilizar esta vulnerabilidad, en una serie de ataques oportunistas contra servidores honeypot, intentando acceder a archivos como /etc/passwd en máquinas vulnerables.
Debido a la gravedad de esta situación, los usuarios deben actuar inmediatamente para mitigar riesgos. Aquí hay algunas prácticas recomendadas:
- Asegúrese de actualizar a la versión más reciente del software Serv-U tan pronto como sea posible.
- Revise las configuraciones de seguridad en su entorno para deshabilitar cualquier acceso no autorizado.
- Realice auditorías regulares y monitoree las actividades inusuales en sus sistemas para detectar posibles intrusiones.
Hasta que se resuelva el problema por completo, es vital que todas las entidades que utilizan el software SolarWinds Serv-U tomen estas advertencias enserio. La seguridad informática es un tema crucial en el mundo digital actual, donde las amenazas son más frecuentes y sofisticadas. La implementación de parches de seguridad y prácticas de ciberseguridad robustas son pasos esenciales para mantener la integridad de los datos y proteger la infraestructura empresarial.
Recuerde: la ciberseguridad comienza por dentro. Manténgase informado, esté preparado y actúe rápido.
