Recent SolarWinds Serv-U Vulnerability Exploited in the Wild
2024/06/21 SecurityWeek — 脅威インテリジェンス企業 GreyNoise の報告によると、先日にパッチが適用された SolarWinds Serv-U の脆弱性に対する初めての悪用事例が観測され、公開済みの PoC エクスプロイト・コードを、脅威アクターたちが活用していることも確認されたという。脆弱性 CVE-2024-28995 は、ディレクトリ・トラバーサルの欠陥であり、その悪用に成功した攻撃者は、ホスト・マシン上の機密ファイルの読み取りが可能になるという。
6月6日に SolarWinds は、Serv-U 15.4.2 hotfix 1 以下のバージョンが影響を受けると発表し、すでに Serv-U 15.4.2 hotfix 2 により修正されていると述べた。なお、影響を受ける製品には、Serv-U FTP Server/Serv-U Gateway/Serv-U MFT Server などが含まれるという。
SolarWinds は、CVE-2024-28995 の詳細については明らかにしていない。その一方で、先週に Rapid7 が発表したのは、SolarWinds アプライアンスのバージョン 15.4.2.126 を使用し、Windows/Linux のデフォルトのインストール・オプションを全て有効化し、この問題の悪用が証明できたというレポートである。
この脆弱性に対する Rapid7 の警告は、攻撃者がパスを知っており、ファイルがロックされていない場合において、パスを知っている未認証の攻撃者は、ディスク上の任意のファイルを容易に読み取れるというものだった。
さらに Rapid7 は、この脆弱性が、直ぐにでも悪用される可能性があると警告している。そして SolarWinds の顧客に対して、Serv-U インスタンスをバージョン 15.4.2 Hotfix 2 (15.4.2.157) へと直ちにアップデートし、このバグに完全に対処するよう促している。
その一方で、GreyNoise の指摘は、脆弱性 CVE-2024-28995 の悪用は、Rapid7 が詳細情報 と PoC コードを公開した直後の週末に始まったというものだ。また、別の研究者も、スキャナーと PoC エクスプロイトを公開している。
観測された悪用の試みの中には、一般に公開されている PoC エクスプロイトのコピーを用いて失敗したものもあれば、攻撃手法に対する粘り強さと深い理解を示すものもあった。ほとんどの攻撃は、Serv-U FTP サーバの認証情報および起動ログと、Windows のコンフィグレーションを標的としていたという。
GreyNoise によると、攻撃者の一人 (中国語を話す人物) は、キーボードを実際に操作し、失敗するたびにエクスプロイトを改良し、4時間にわたって各種のペイロードを試していたとのことだ。
SolarWinds Serv-U の脆弱性 CVE-2024-28995 ですが、第一報は 2024/06/19 の「SolarWinds Serv-U の脆弱性 CVE-2024-28995 が FIX: GreyNoise が積極的な悪用を観測」となっています。こちらの記事には、パストラバーサル関する詳細な説明もあります。よろしければ、SolarWinds で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.