A SolarWinds lançou atualizações de segurança para corrigir quatro vulnerabilidades críticas na sua plataforma Serv-U, que podiam permitir a atacantes obter acesso de raiz a servidores não atualizados. O Serv-U é o software gerido pela empresa para transferência de ficheiros em sistemas Windows e Linux, muito utilizado por organizações para a partilha segura de dados através de FTP, FTPS, SFTP e HTTP/S.
O perigo do acesso total e a falha principal
A mais grave destas quatro falhas resolvidas na versão 15.5.4 do Serv-U é identificada como CVE-2025-40538. Trata-se de uma quebra no controlo de acessos que permite a um atacante com privilégios de administrador de domínio ou de grupo criar um utilizador administrador do sistema e executar código arbitrário. A empresa também corrigiu duas falhas de confusão de tipos e uma vulnerabilidade de referência direta e insegura a objetos, todas com o potencial de garantir a execução de código com privilégios máximos.
Como atenuante para as equipas de TI, a exploração destas falhas exige que o atacante já possua privilégios elevados no servidor alvo. Isto limita as tentativas de exploração a cenários onde as credenciais já foram roubadas ou onde os piratas informáticos conseguem escalar privilégios de forma encadeada através de outras vulnerabilidades.
Um alvo frequente para grupos criminosos
Softwares de transferência de ficheiros são alvos preferenciais nestes ataques, pois dão um acesso facilitado a documentos que podem conter informações sensíveis de empresas e dos seus clientes. Os dados atuais da plataforma Shodan apontam para mais de 12 mil servidores Serv-U expostos à internet, enquanto a Shadowserver estima um número inferior a 1200.
Ao longo dos últimos cinco anos, várias vulnerabilidades neste software foram exploradas ativamente para roubo de dados. O grupo criminoso responsável pelo ransomware Clop aproveitou uma falha de execução remota de código no Serv-U Secure FTP em 2021 para invadir redes corporativas. Hackers sediados na China também recorreram a essa mesma vulnerabilidade em ataques zero-day.
Mais recentemente, em junho de 2024, empresas de cibersegurança detetaram uma falha de path-traversal a ser ativamente explorada através de provas de conceito públicas. Atualmente, a CISA acompanha nove vulnerabilidades da empresa que estão ou foram exploradas de forma ativa, o que reforça a urgência na aplicação das correções detalhadas pela SolarWinds.
Nenhum comentário
Seja o primeiro!