AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Hackers explotan activamente la vulnerabilidad crítica CVE-2024-28995 en SolarWinds Serv-U para provocar caídas de servidores

admin

#### 1. Introducción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta urgente sobre la explotación activa de una vulnerabilidad recientemente parcheada en SolarWinds Serv-U. Este fallo, clasificado con una severidad alta, está siendo aprovechado por actores maliciosos para provocar la caída de servidores afectados, comprometiendo así la disponibilidad de servicios críticos en múltiples organizaciones. El incidente subraya la importancia de la gestión proactiva de parches y la monitorización continua ante vulnerabilidades explotadas in the wild.

#### 2. Contexto del Incidente o Vulnerabilidad

SolarWinds Serv-U es una solución ampliamente utilizada para la transferencia segura de archivos (FTP, SFTP y FTPS) en entornos empresariales y gubernamentales. El 5 de junio de 2024, SolarWinds publicó un parche de seguridad para abordar la vulnerabilidad identificada como CVE-2024-28995, catalogada con una puntuación CVSS de 7.5 (Alta). Sin embargo, pocos días después, se detectaron intentos de explotación activa dirigidos a organizaciones que no habían aplicado el parche correspondiente, lo que llevó a CISA a incluir la falla en su catálogo de vulnerabilidades explotadas activamente (KEV).

#### 3. Detalles Técnicos

La vulnerabilidad CVE-2024-28995 reside en el componente de manejo de rutas de directorio de Serv-U, permitiendo a un atacante remoto no autenticado enviar peticiones especialmente manipuladas que desencadenan un desbordamiento de buffer. Esto provoca la caída inmediata del servicio (Denegación de Servicio, DoS) y en ciertas condiciones podría facilitar la ejecución remota de código (RCE), aunque este último vector aún no ha sido explotado públicamente según los informes actuales.

**Vectores de ataque y TTPs:**
– **Vector:** Acceso remoto vía protocolo HTTP/HTTPS al servidor Serv-U expuesto.
– **Metodología:** Envío automatizado de payloads específicamente diseñados para saturar el manejo de rutas.
– **Frameworks observados:** Se han detectado módulos de explotación en Metasploit y scripts personalizados distribuidos en foros clandestinos.
– **TTP MITRE ATT&CK relevantes:** T1499 (Denial of Service), T1190 (Exploit Public-Facing Application).

**Indicadores de Compromiso (IoC):**
– Peticiones HTTP POST anómalas hacia rutas no existentes.
– Logs de Serv-U con registros de errores de acceso y caídas súbitas.
– Direcciones IP asociadas a escaneo masivo y explotación, predominantemente desde redes de Europa del Este y Asia.

**Versiones afectadas:**
– Serv-U File Server y Serv-U Gateway anteriores a la versión 15.4.2 HF1.

#### 4. Impacto y Riesgos

La explotación de CVE-2024-28995 permite a los atacantes causar interrupciones en servicios de transferencia de archivos, afectando tanto la continuidad de negocio como la integridad de los datos en tránsito. Según estimaciones de SolarWinds, hasta un 30% de sus clientes empresariales aún no habían actualizado a la versión corregida una semana después de la publicación del parche. La interrupción de servicios críticos puede conllevar pérdidas económicas directas, sanciones regulatorias bajo el GDPR o NIS2 y daños reputacionales significativos.

#### 5. Medidas de Mitigación y Recomendaciones

CISA y SolarWinds recomiendan encarecidamente las siguientes acciones inmediatas:

– **Actualizar Serv-U a la versión 15.4.2 HF1 o superior** sin demora.
– Aplicar la segmentación de red y restringir el acceso a interfaces administrativas sólo a redes internas o mediante VPN.
– Implementar monitorización de logs para detectar patrones anómalos y caídas inesperadas del servicio.
– Utilizar sistemas de prevención de intrusiones (IPS) para bloquear payloads conocidos.
– Realizar auditorías periódicas de los sistemas expuestos a Internet e implementar políticas de gestión de parches automatizadas.
– Revisar configuraciones de firewall para limitar el acceso a los puertos usados por Serv-U (por defecto: 21, 22, 443).

#### 6. Opinión de Expertos

Especialistas en ciberseguridad, como Jake Williams (ex NSA y fundador de Rendition Infosec), advierten que «la rapidez con la que los atacantes han incorporado esta vulnerabilidad a sus kits de explotación demuestra la profesionalización y automatización del cibercrimen actual». Desde el equipo de Threat Intelligence de ESET, se subraya que “la exposición de servicios de transferencia de archivos a Internet debe considerarse crítica y gestionarse de acuerdo a los principios de Zero Trust”.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la explotación exitosa de esta vulnerabilidad puede derivar en la interrupción de cadenas de suministro, la pérdida de datos sensibles y la imposibilidad de cumplir con las obligaciones regulatorias del GDPR o NIS2, exponiendo a la organización a cuantiosas multas. Los usuarios finales pueden ver afectada la disponibilidad de servicios críticos, como la entrega de informes, la comunicación interna o la transferencia de información confidencial.

#### 8. Conclusiones

La explotación activa de CVE-2024-28995 en SolarWinds Serv-U constituye un recordatorio de la importancia vital de mantener una gestión de vulnerabilidades ágil y eficaz. Las organizaciones deben priorizar la actualización de software, el monitoreo continuo y la segmentación de servicios expuestos como parte de una estrategia de defensa en profundidad. La rápida respuesta ante amenazas emergentes será clave para reducir la superficie de ataque y evitar impactos económicos y regulatorios significativos.

(Fuente: www.bleepingcomputer.com)