SolarWinds es una empresa de software líder especializada en soluciones de monitoreo y gestión de TI para redes e infraestructura.
La empresa saltó a la fama en 2020 por un importante ataque a la cadena de suministro en el que los piratas informáticos inyectaron código malicioso en las actualizaciones de Orion y comprometieron las redes de más de 30.000 clientes.
Los investigadores de GreyNoise Labs descubrieron recientemente que los piratas informáticos están explotando la vulnerabilidad CVE-2024-28995 de SolarWinds Serv-U en la naturaleza.
Los piratas informáticos aprovechan las vulnerabilidades en SolarWinds Serv-U
En junio de 2024, se descubrió que el producto de transferencia de archivos de SolarWinds, “Serv-U”, tenía una vulnerabilidad de “recorrido de ruta crítica”.
Esta falla permitió a un atacante leer archivos arbitrarios manipulando los parámetros “InternalDir” e “InternalFile” de una solicitud “HTTP”. Se ha implementado un honeypot que imita esta vulnerabilidad para estudiar los intentos de explotación.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
El honeypot registró varios patrones de ataque durante un período de tres meses, comenzando con investigaciones básicas como acceder a “Linux” y acceder a “C:\Windows\win.ini” en “Windows”.
Este intento se dirige a archivos confidenciales como “unattended.xml” y “sysprep.xml” que pueden contener credenciales de texto sin cifrar.
Los atacantes también buscaban “colmenas del registro de Windows” (SAM para datos de contraseña) y “credenciales de servicio en la nube” para “AWS”, “Azure” y “Google Cloud”.
Además, inicialmente también se investigaron los sistemas “Linux”, siendo “Windows” el principal objetivo, según el informe GreyNoise.
El ataque evolucionó desde un simple escaneo de vulnerabilidades hasta un intento de explotación enfocado, con picos de nuevos tipos de cargas útiles observados en fechas específicas (7 y 29 de julio).
Las diferencias en la codificación de URL y el juego de caracteres (“cirílico”) dentro de la carga útil indican los diversos orígenes de los atacantes.
La frecuencia y variedad de exploits ha disminuido con el tiempo, lo que indica menos interés por parte de los actores de amenazas o mejores parches por parte de objetivos potenciales.
Además, estos datos del mundo real proporcionan información valiosa sobre el ciclo de vida y los patrones de explotación de vulnerabilidades de alto perfil en productos de software empresarial ampliamente utilizados.
Este análisis examina los intentos de filtración de archivos por parte de atacantes dirigidos a servidores Serv-U e identifica los archivos solicitados como “Escáner”, “Credenciales de Windows”, “Configuración web”, “Base de datos” y “Otros”. “Archivos interesantes”.
Aquí, las solicitudes relacionadas con la web se centran en los archivos de configuración del sistema Windows para “PHP'', “Apache'', “Nginx'' y “IIS''. Por otro lado, los intentos relacionados con bases de datos tienen como objetivo “MySQL”, “PostgreSQL” y “SQL Server”. Archivos de configuración y datos. “
El análisis también señaló solicitudes “rotas” debido a errores tipográficos, rutas incorrectas y especulaciones creativas como “contraseña.txt” en el escritorio del administrador.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
Hackers Exploiting Critical SolarWinds Serv-U Vulnerability In The Wild
