Plataforma
windows
Componente
serv-u
Corrigido em
15.4.2
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no SolarWinds Serv-U, permitindo que um atacante execute código arbitrário no sistema. A falha, classificada com um CVSS de 8.4 (ALTO), explora uma vulnerabilidade de Directory Traversal e requer uma conta altamente privilegiada para ser explorada. Versões afetadas incluem aquelas anteriores ou iguais a 15.4.1. A correção está disponível na versão 15.4.2.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado ao sistema Serv-U e execute código malicioso remotamente. Como a exploração requer uma conta privilegiada, o impacto é amplificado, pois o atacante pode potencialmente comprometer todo o servidor e seus dados. Um atacante poderia instalar malware, roubar informações confidenciais, modificar arquivos de configuração ou até mesmo assumir o controle total do sistema. A ausência de autenticação robusta para a exploração aumenta o risco, tornando o sistema vulnerável a ataques internos e externos.
A vulnerabilidade foi divulgada em 17 de abril de 2024. Não há informações disponíveis sobre exploração ativa em campanhas. A necessidade de uma conta privilegiada para exploração pode limitar a probabilidade de exploração em larga escala, mas ainda representa um risco significativo para ambientes onde contas privilegiadas não são devidamente protegidas. A ausência de um registro no KEV (CISA Known Exploited Vulnerabilities) indica que a exploração não é amplamente rastreada no momento.
Organizations that rely on SolarWinds Serv-U for file transfer and have not upgraded to version 15.4.2 are at risk. This includes businesses of all sizes, particularly those with legacy Serv-U deployments or those that have not implemented robust account management practices. Shared hosting environments where Serv-U is installed are also at increased risk due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "servu"}• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4625" -MaxEvents 10 | Select-Object -Property TimeCreated, ProcessName, CommandLine• windows / supply-chain: Check Autoruns for suspicious entries related to Serv-U or its installation directory. • windows / supply-chain: Monitor Windows Defender for alerts related to file access attempts outside of the Serv-U installation directory.
disclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Serv-U para a versão 15.4.2 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso à interface de gerenciamento do Serv-U apenas a usuários autorizados e com privilégios mínimos. Implementar regras de firewall para limitar o acesso à porta do Serv-U a endereços IP confiáveis também pode ajudar a reduzir a superfície de ataque. Monitore logs do sistema em busca de atividades suspeitas, como tentativas de acesso não autorizado ou modificações inesperadas de arquivos.
Actualice SolarWinds Serv-U a la última versión disponible proporcionada por el proveedor. Consulte el aviso de seguridad de SolarWinds para obtener instrucciones específicas sobre la actualización y las versiones corregidas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-28073 is a Remote Code Execution vulnerability in SolarWinds Serv-U versions up to 15.4.1. It allows attackers with privileged accounts to execute code via a directory traversal flaw.
You are affected if you are running SolarWinds Serv-U version 15.4.1 or earlier. Upgrade to version 15.4.2 to mitigate the risk.
Upgrade SolarWinds Serv-U to version 15.4.2 or later. If upgrading is not immediately possible, restrict privileged account access and monitor logs.
As of now, CVE-2024-28073 is not known to be actively exploited, but public exploits may emerge due to the nature of the vulnerability.
Refer to the official SolarWinds security advisory for CVE-2024-28073 on the SolarWinds support website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.