【安全资讯】GreyNoise警告：针对SolarWinds Serv-U漏洞（CVE-2024-28995）的活跃攻击尝试

概要：

2024年6月5日，SolarWinds发布了一则关于其Serv-U软件中发现的路径遍历漏洞（CVE-2024-28995）的重要公告。该漏洞允许未经身份验证的攻击者从文件系统中检索任意文件，影响范围广泛，需引起高度重视。

主要内容：

SolarWinds Serv-U版本15.4.2 HF 1及之前的版本均受此漏洞影响，而版本15.4.2 HF 2及之后的版本已修补该问题。该漏洞是由于路径遍历段（../）验证不充分，攻击者可以通过简单的GET请求绕过安全检查，获取任意文件。

GreyNoise Intelligence部署了一个高级蜜罐来收集漏洞利用尝试的数据。蜜罐模拟了易受攻击的Serv-U应用程序，并捕获了多次攻击尝试，包括手动操作活动。GreyNoise观察到的攻击尝试包括：

- Windows平台的GET请求：/？InternalDir=/../../../../windows&InternalFile=win.ini

- Linux平台的GET请求：/？InternalDir=\..\..\..\..\etc&InternalFile=passwd

有趣的是，Serv-U的路径遍历过滤器仅检查平台适用的斜杠（Linux为/，Windows为\），这使得使用不正确斜杠的攻击可以绕过过滤器并成功利用漏洞。GreyNoise的蜜罐揭示了各种针对关键文件的有效负载，如/etc/passwd和Serv-U启动日志，显示了攻击者的不同技术水平。

值得注意的观察包括：

- 负载复制粘贴错误：一名攻击者使用了包含错误插入符号（^）的负载，表明他们在不了解的情况下复制了负载。

- 手动操作活动：来自中国IP的攻击者在请求中包含了非英文UTF-8字符（%E3%80%81），表明手动输入。该攻击者在四小时内进行了多次尝试，进一步表明了手动参与而非自动扫描。

SolarWinds建议所有用户更新至Serv-U版本15.4.2 HF 2或更高版本以缓解该漏洞。