Plataforma
windows
Componente
serv-u
Corregido en
15.4.2
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en SolarWinds Serv-U, afectando a versiones hasta la 15.4.1. Esta falla permite a un atacante con privilegios elevados ejecutar código arbitrario en el sistema vulnerable. La vulnerabilidad se debe a un problema de Directory Traversal. La versión 15.4.2 corrige esta vulnerabilidad.
La vulnerabilidad de Directory Traversal en Serv-U permite a un atacante, con las credenciales adecuadas, acceder a archivos y directorios sensibles en el servidor. Al poder leer estos archivos, el atacante puede obtener información confidencial, como contraseñas, claves de cifrado o datos de configuración. Más grave aún, la ejecución remota de código permite al atacante ejecutar comandos arbitrarios en el sistema, comprometiendo completamente la integridad y confidencialidad de los datos. Un atacante podría instalar malware, modificar archivos de configuración o incluso tomar el control total del servidor. La necesidad de privilegios elevados para la explotación limita el alcance inicial, pero una vez comprometida una cuenta privilegiada, el impacto es significativo.
Esta vulnerabilidad fue publicada el 17 de abril de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) y la disponibilidad de la solución sugieren que podría ser objeto de explotación en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Organizations that rely on SolarWinds Serv-U for file transfer and have not upgraded to version 15.4.2 are at risk. This includes businesses of all sizes, particularly those with legacy Serv-U deployments or those that have not implemented robust account management practices. Shared hosting environments where Serv-U is installed are also at increased risk due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "servu"}• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4625" -MaxEvents 10 | Select-Object -Property TimeCreated, ProcessName, CommandLine• windows / supply-chain: Check Autoruns for suspicious entries related to Serv-U or its installation directory. • windows / supply-chain: Monitor Windows Defender for alerts related to file access attempts outside of the Serv-U installation directory.
disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 15.4.2 o posterior de SolarWinds Serv-U. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a Serv-U solo a usuarios autorizados y monitorear los registros del sistema en busca de actividad sospechosa. Implementar reglas en un firewall o proxy para bloquear el acceso no autorizado a los directorios sensibles puede ayudar a reducir el riesgo. Además, revisar y fortalecer las políticas de contraseñas y la autenticación multifactorial puede dificultar la obtención de credenciales privilegiadas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el Directory Traversal ya no es posible.
Actualice SolarWinds Serv-U a la última versión disponible proporcionada por el proveedor. Consulte el aviso de seguridad de SolarWinds para obtener instrucciones específicas sobre la actualización y las versiones corregidas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-28073 is a Remote Code Execution vulnerability in SolarWinds Serv-U versions up to 15.4.1. It allows attackers with privileged accounts to execute code via a directory traversal flaw.
You are affected if you are running SolarWinds Serv-U version 15.4.1 or earlier. Upgrade to version 15.4.2 to mitigate the risk.
Upgrade SolarWinds Serv-U to version 15.4.2 or later. If upgrading is not immediately possible, restrict privileged account access and monitor logs.
As of now, CVE-2024-28073 is not known to be actively exploited, but public exploits may emerge due to the nature of the vulnerability.
Refer to the official SolarWinds security advisory for CVE-2024-28073 on the SolarWinds support website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.