Platform
windows
Component
serv-u
Opgelost in
15.4.2
CVE-2024-28073 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in SolarWinds Serv-U. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op een systeem, mits er een hoogbevoegd account beschikbaar is. De kwetsbaarheid treft versies van SolarWinds Serv-U tot en met 15.4.1. Een fix is beschikbaar in versie 15.4.2.
Een succesvolle exploitatie van CVE-2024-28073 kan leiden tot volledige controle over het getroffen systeem. Aangezien exploitatie een hoogbevoegd account vereist, is de impact afhankelijk van de beveiligingsconfiguratie van het systeem en de privileges die aan dat account zijn toegekend. Een aanvaller kan het systeem gebruiken om gevoelige gegevens te stelen, malware te installeren of zich lateraal te verplaatsen naar andere systemen binnen het netwerk. Dit kan leiden tot een aanzienlijke verstoring van de bedrijfsvoering en reputatieschade. De mogelijkheid om willekeurige code uit te voeren, maakt deze kwetsbaarheid bijzonder ernstig.
CVE-2024-28073 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is momenteel geen informatie over actieve campagnes die deze kwetsbaarheid exploiteren, maar de mogelijkheid bestaat gezien de ernst van de kwetsbaarheid. De publicatie datum is 2024-04-17. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Organizations that rely on SolarWinds Serv-U for file transfer and have not upgraded to version 15.4.2 are at risk. This includes businesses of all sizes, particularly those with legacy Serv-U deployments or those that have not implemented robust account management practices. Shared hosting environments where Serv-U is installed are also at increased risk due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "servu"}• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4625" -MaxEvents 10 | Select-Object -Property TimeCreated, ProcessName, CommandLine• windows / supply-chain: Check Autoruns for suspicious entries related to Serv-U or its installation directory. • windows / supply-chain: Monitor Windows Defender for alerts related to file access attempts outside of the Serv-U installation directory.
disclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-28073 is het updaten van SolarWinds Serv-U naar versie 15.4.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de privileges van accounts die toegang hebben tot de Serv-U server. Implementeer een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Controleer de Serv-U logbestanden op ongebruikelijke activiteit. Er zijn momenteel geen specifieke Sigma of YARA patronen bekend voor deze kwetsbaarheid, maar het monitoren van processen die willekeurige code uitvoeren is aan te raden. Na de upgrade, controleer de Serv-U logbestanden op fouten en bevestig dat de kwetsbaarheid is verholpen.
Actualice SolarWinds Serv-U a la última versión disponible proporcionada por el proveedor. Consulte el aviso de seguridad de SolarWinds para obtener instrucciones específicas sobre la actualización y las versiones corregidas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-28073 is a Remote Code Execution vulnerability in SolarWinds Serv-U versions up to 15.4.1. It allows attackers with privileged accounts to execute code via a directory traversal flaw.
You are affected if you are running SolarWinds Serv-U version 15.4.1 or earlier. Upgrade to version 15.4.2 to mitigate the risk.
Upgrade SolarWinds Serv-U to version 15.4.2 or later. If upgrading is not immediately possible, restrict privileged account access and monitor logs.
As of now, CVE-2024-28073 is not known to be actively exploited, but public exploits may emerge due to the nature of the vulnerability.
Refer to the official SolarWinds security advisory for CVE-2024-28073 on the SolarWinds support website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.