O vulnerabilitate de securitate recent dezvăluită în produsul SolarWinds Serv-U este deja exploatată activ de atacatori. Conform raportărilor, problema permite actorilor rău intenționați neautentificați să trimită cereri POST special concepute, care duc la blocarea serviciului Serv-U.
Care este vulnerabilitatea?
Defectul, identificat în software-ul de transfer de fișiere Serv-U, constă într-o gestionare necorespunzătoare a anumitor cereri HTTP. Un atacator poate trimite o cerere POST atent croită, care, fără a necesita autentificare, provoacă o condiție de refuz de serviciu (DoS) prin prăbușirea serviciului. Deși nu s-a raportat o execuție de cod la distanță, indisponibilitatea serverului poate afecta operațiunile organizațiilor care folosesc soluția.
Exploatare în sălbăticie
Cercetătorii și utilizatorii au confirmat că exploitul este deja activ în sălbăticie. SolarWinds a lansat actualizări pentru a remedia problema, iar utilizatorii sunt sfătuiți să aplice patch-urile cât mai curând posibil. Compania nu a oferit încă detalii despre amploarea atacurilor sau posibilele victime.
Impact și recomandări
Impactul principal este întreruperea serviciului, care poate bloca transferurile de fișiere și poate duce la pierderi operaționale. Deoarece atacul nu necesită autentificare, orice instanță Serv-U expusă pe internet este potențial vulnerabilă. Specialiștii recomandă actualizarea imediată la cea mai recentă versiune de SolarWinds Serv-U, precum și restricționarea accesului la interfața de administrare doar pe rețele de încredere. De asemenea, se recomandă monitorizarea logurilor pentru activități suspecte.
Pentru a reduce riscul, organizațiile ar trebui să implementeze reguli de firewall care să blocheze traficul neautorizat către porturile utilizate de Serv-U și să mențină un program regulat de actualizare a securității.