CISA: Χάκερ εκμεταλλεύονται ελάττωμα Serv-U της SolarWinds

Ανησυχίες προκαλεί η ανακοίνωση της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), καθώς πρόσφατα ανακάλυψε ότι εκμεταλλεύτες έχουν θέσει στο στόχαστρό τους ένα σοβαρό ελάττωμα στο λογισμικό SolarWinds Serv-U, με σκοπό να καταρρεύσουν διακομιστές. Αυτή η ενημέρωση έχει σημασία καθώς αφορά μια από τις πιο ευρέως χρησιμοποιούμενες πλατφόρμες μεταφοράς αρχείων στον κόσμο.

Το SolarWinds Serv-U παρέχει εργαλεία για Managed File Transfer (MFT) και FTP server, διευκολύνοντας την ασφαλή ανταλλαγή αρχείων μέσω διάφορων πρωτοκόλλων όπως HTTP/HTTPS, FTP, FTPS και SFTP. Το ενδιαφέρον για τις ευπάθειες του λογισμικού αυτού δεν είναι μια απλή τεχνική λεπτομέρεια, αλλά έχει άμεσες επιπτώσεις για επιχειρήσεις και οργανισμούς που βασίζονται στην ασφάλεια των δεδομένων τους.

Η εταιρεία SolarWinds ανακοίνωσε την κυκλοφορία επείγουσας επιδιόρθωσης (hotfix) 1 Serv-U 15.5.4 την Πέμπτη για να αντιμετωπίσει την ευπάθεια, γνωστή ως CVE-2026-28318, που σχετίζεται με ανεξέλεγκτες αδυναμίες κατανάλωσης πόρων.

“Οι επιθέσεις που εκμεταλλεύονται αυτό το ελάττωμα είναι απλές και δεν απαιτούν αυθεντικοποίηση, με ειδικά διαμορφωμένα αιτήματα POST να διακόπτουν τη λειτουργία του Serv-U,” δήλωσε εκπρόσωπος της SolarWinds. Ο κίνδυνος καθίσταται πιο επιτακτικός, καθώς οι απομακρυσμένοι επιτιθέμενοι μπορούν να εκμεταλλευτούν την αδυναμία χωρίς προνόμια, καθιστώντας την επίθεση σχετικά εύκολη.

Η SolarWinds προτείνει στους διαχειριστές που δεν μπορούν να εφαρμόσουν άμεσα τις ενημερώσεις να περιορίσουν την πρόσβαση σε γνωστές διευθύνσεις IP και να αποκλείσουν κάθε POST αίτημα που περιέχει “Content-Encoding”, καθώς η ευάλωτη υπηρεσία Serv-U δεν απαιτεί αυτή τη λειτουργία.

Οι διακομιστές που χρησιμοποιούν το Serv-U είναι ευρέως διαθέσιμοι και η πλατφόρμα παρακολούθησης Shodan αναφέρει ότι πάνω από 12.000 διακομιστές Serv-U είναι εκτεθειμένοι στο διαδίκτυο, με τη Shadowserver να καταγράφει πάνω από 3.100, χωρίς να υπάρχουν πληροφορίες για το πόσοι έχουν επιδιορθωθεί.

Λίγες ημέρες αργότερα, η CISA ανήγγειλε την ευπάθεια ως ενεργό κίνδυνο και την πρόσθεσε στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών. Ειδικά, οι υπηρεσίες της ομοσπονδιακής κυβέρνησης της ΗΠΑ προειδοποιήθηκαν να επιδιορθώσουν τους διακομιστές τους έως τις 19 Ιουνίου, καθοδηγούμενοι από την Δεσμευτική Επιχειρησιακή Οδηγία (BOD) 22-01 που αφορά μόνο τις κυβερνητικές υπηρεσίες.

Παρά την περιορισμένη φύση του BOD 22-01, η CISA προτρέπει και τον ιδιωτικό τομέα να διασφαλίσει τα δίκτυά τους. “Αυτός ο τύπος ευπάθειας έχει αποδειχθεί συχνός στόχος για κακόβουλους του κυβερνοχώρου και μπορεί να οδηγήσει σε σοβαρούς κινδύνους,” δήλωσε εκπρόσωπος της CISA. “Ανεξαρτήτως της φύσης της επιχείρησης, είναι κρίσιμο να εφαρμοστούν μέτρα προστασίας και να ακολουθούνται οι οδηγίες ασφαλείας,” πρόσθεσε.

Σημαντικό να σημειωθεί είναι ότι στο παρελθόν, ομάδες κυβερνοεγκλήματος όπως οι Clop έχουν χρησιμοποιήσει ευπάθειες του Serv-U για να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα. Στην περίπτωση του CVE-2021-35211, σημειώθηκαν επιθέσεις που είχαν σοβαρές συνέπειες για τους στόχους τους.

Αντίστοιχα, πρόσφατα σε επιθέσεις zero-day, οι Κινέζοι χάκερ ανέπτυξαν εκμεταλλεύσεις στο Serv-U, επαναλαμβάνοντας την ανάγκη προσοχής στην ασφάλεια για κάθε οργάνωση που χρησιμοποιεί το εν λόγω λογισμικό.

Η CISA έχει εντοπίσει τουλάχιστον 11 ευπάθειες σε προϊόντα SolarWinds, που αξιοποιούνται ενεργά, με πολλές από αυτές να σχετίζονται με ομάδες ransomware, επιβεβαιώνοντας την ανάγκη συνεργασίας μεταξύ των εγχώριων και διεθνών φορέων ασφαλείας για την πρόληψη τέτοιων επιθέσεων.