SolarWinds telah merilis pembaruan keamanan untuk menambal empat kerentanan eksekusi kode jarak jauh Serv-U yang penting yang dapat memberikan penyerang akses root ke server yang belum ditambal.
Serv-U adalah perangkat lunak transfer file Windows dan Linux yang dihosting sendiri oleh perusahaan yang dilengkapi dengan kemampuan Managed File Transfer (MFT) dan server FTP, memungkinkan organisasi bertukar file dengan aman melalui FTP, FTPS, SFTP, dan HTTP/S.
Yang paling parah dari empat kelemahan keamanan yang ditambal oleh SolarWinds hari ini di Serv-U 15.5.4 dilacak sebagai CVE-2025-40538, dan memungkinkan penyerang dengan hak istimewa tinggi untuk mendapatkan izin root atau admin di server yang rentan.
“Kerentanan kontrol akses yang rusak ada di Serv-U yang, ketika dieksploitasi, memberikan penyerang kemampuan untuk membuat pengguna admin sistem dan mengeksekusi kode arbitrer sebagai root melalui hak istimewa admin domain atau admin grup,” kata SolarWinds dalam penasehat hari Selasa.
Perusahaan juga menambal dua jenis kelemahan kebingungan dan kerentanan Referensi Objek Langsung Tidak Aman (IDOR) yang dapat dieksploitasi untuk mendapatkan eksekusi kode dengan hak akses root.
Untungnya, keempat kelemahan keamanan tersebut mengharuskan penyerang untuk sudah memiliki hak istimewa yang tinggi pada server yang ditargetkan, yang akan membatasi potensi upaya eksploitasi pada skenario di mana penyerang dapat merantai kerentanan peningkatan hak istimewa atau menggunakan kredensial admin yang sebelumnya dicuri.
Shodan saat ini sedang melacak lebih dari 12.000 server Serv-U yang terekspos Internetsementara Shadowserver memperkirakan jumlahnya kurang dari 1.200.
Perangkat lunak transfer file seperti SolarWinds Serv-U sering menjadi sasaran serangan karena menyediakan akses mudah ke dokumen yang mungkin berisi data sensitif perusahaan dan pelanggan.
Selama lima tahun terakhir, berbagai kelompok kejahatan dunia maya dan peretasan yang disponsori negara telah menargetkan kerentanan Serv-U dalam serangan pencurian data, dengan geng Clop telah mengeksploitasi kerentanan eksekusi kode jarak jauh Serv-U Secure FTP (CVE-2021-35211) untuk melanggar jaringan perusahaan dalam serangan ransomware.
Peretas yang berbasis di Tiongkok (dilacak oleh Microsoft sebagai DEV-0322), yang dikenal terutama menargetkan perusahaan pertahanan dan perangkat lunak AS, juga menerapkan eksploitasi CVE-2021-35211 dalam serangan zero-day mulai Juli 2021.
Baru-baru ini, pada bulan Juni 2024, perusahaan keamanan siber Rapid7 dan GreyNoise menandai kerentanan penjelajahan jalur SolarWinds Serv-U (CVE-2024-28995) sebagai dieksploitasi secara aktif oleh pelaku ancaman yang menggunakan eksploitasi bukti konsep (PoC) yang tersedia untuk umum.
Badan Keamanan Siber dan Infrastruktur AS (CISA) saat ini melacak sembilan kelemahan keamanan SolarWindsyang telah atau masih aktif dieksploitasi di alam liar.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
