Trusted Design

解説:

CVE-2024-28995は、SolarWinds Serv-U製品に存在するディレクトリ・トラバーサルの脆弱性です。以下に詳細を解説します。

1. 脆弱性の概要

SolarWinds Serv-U は、ディレクトリ・トラバーサルの脆弱性を抱えており、攻撃者はホストマシン上の機密ファイルを読み取ることが可能になります。この脆弱性は、パスの検証が不十分であることに起因します。

1.1 影響 未認証の攻撃者が、細工されたリクエストを送信することで、ターゲットサーバー上の任意のファイル（機密性の高い設定ファイルやログファイルなど）を読み取ることができる可能性があります。これにより、機密情報が漏洩し、さらなる攻撃につながるおそれがあります。

1.2 深刻度 深刻度は「高 (High)」に分類されています。 CVSS v3.1スコアは 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) であり、特に機密性 (Confidentiality) への影響が高いと評価されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン Windows および Linux システム上で稼働するSolarWinds Serv-U製品が影響を受けます。

2.2 影響を受ける製品およびバージョン 以下のSolarWinds Serv-U製品のバージョンが影響を受けます。 * SolarWinds Serv-U 15.4.2 Hotfix 1 およびそれ以前のバージョン * Serv-U FTP Server * Serv-U Gateway * Serv-U MFT Server

2.3 影響を受ける設定 Windows/Linux のデフォルトのインストールオプションを全て有効化している場合、この問題の悪用が可能であることが報告されています。この脆弱性はデフォルト設定で利用可能です。

3. 影響を受けた時の兆候

CISAのKnown Exploited Vulnerabilities (KEV) カタログに登録されており、公開されているPoC (Proof of Concept) エクスプロイトコードを使用した悪用が確認されています。 GreyNoiseは、この脆弱性に対する悪用試行を積極的に観測していると報告しています。 攻撃に成功すると、機密ファイルが読み取られる可能性がありますが、直接的なシステムへの侵入兆候として特定できる具体的なログやアラートについては、現時点では明確な情報はありません。Serv-Uのログファイルやシステムログに、通常とは異なるファイルアクセスや、ディレクトリ・トラバーサルの試行を示すエントリがないか監視することが考えられます。

4. 推奨対策

4.1 本対策 * 製品のアップグレード: SolarWinds Serv-U をバージョン 15.4.2 Hotfix 2 (またはそれ以降のバージョン 15.4.2.157 以降) にアップグレードしてください。ベンダーによってこの脆弱性に対処するパッチがリリースされています。

4.2 暫定回避策（緩和策） 根本的な解決策としてはアップグレードが強く推奨されますが、一時的な緩和策として以下が挙げられます。 * Webサーバーユーザーのアクセス権限の制限: Webサーバーユーザーのアクセス権限を最小限に制限します。 * 厳格な入力検証の実装: 受信するHTTPリクエストの「InternalDir」および「InternalFile」パラメータに対して厳格なパス検証を実施し、../ または ..\ のようなディレクトリ・トラバーサルを示す文字シーケンスが含まれていないことを確認します。 * ファイルアクセスログの有効化: 不審な活動を検出するためにファイルアクセスログを有効にします。 * ファイルシステム権限の制限: オペレーティングシステムレベルで、Serv-Uプロセスが機密ファイルやディレクトリにアクセスできる権限を制限します。 * 不要な機能の無効化: 必要でない場合は、WebクライアントやFTPアクセスなどのServ-Uの機能を無効にすることを検討してください。

参照したサイト

• CVE-2024-28995 - SolarWinds Serv-U Directory Traversal vulnerability - Broadcom Inc.
• SolarWinds Serv-U の脆弱性 CVE-2024-28995：PoC の公開後から多様な攻撃が始まる
• CVE-2024-28995 Detail - NVD
• CVE-2024-28995: SolarWinds Serv-U Path Traversal Flaw - SentinelOne
• SolarWinds fixes severe Serv-U vulnerability (CVE-2024-28995) - Help Net Security
• SolarWinds Serv-U の脆弱性 CVE-2024-28995 が FIX： GreyNoise が積極的な悪用を観測
• CVE-2024-28995: Disclosure Vulnerability in SolarWinds Serv-U | Rapid7 Blog
• Threat actors exploited SolarWinds Serv-U bug CVE-2024-28995 - Security Affairs
• 【已复现】SolarWinds Serv-U FTP 目录遍历致文件读取漏洞（CVE-2024-28995） | 長亭百川云
• SolarWinds Serv-U (CVE-2024-28995) exploitation: We see you! - GreyNoise Labs
• CVE-2024-28995 | Tenable®
• SolarWinds Serv-U目录遍历漏洞(CVE-2024-28995) 安全通告 - 安全内参
• Praison001/CVE-2024-28995-SolarWinds-Serv-U - GitHub
• July 17, 2024 Advisory: Vulnerability in SolarWinds Serv-U Path Traversal [CVE-2024-28995] - Censys
• SolarWinds-Serv-U目录遍历漏洞(CVE-2024-28995).md - GitHub
• SolarWinds Serv-U 15.4.2 HF1 - Directory Traversal - Exploit-DB
• SolarWinds Serv-U FTP 目录遍历文件读取漏洞（CVE-2024-28995）
• CVE Record: CVE-2024-28995 - SolarWinds
• CVE-2024-28995｜SolarWinds Serv-U任意文件下载漏洞（POC） - 腾讯云
• CVE-2024-28995 PoC and Bulk Scanner - GitHub
• 关于SolarWinds Serv-U目录遍历漏洞(CVE-2024-28995)的风险提示
• JVNDB-2024-003399 - JVN iPedia - 脆弱性対策情報データベース