هشدار CISA درباره بهره‌برداری فعال از آسیب‌پذیری SolarWinds Serv-U

به گزارش پایگاه خبری پایداری ملی به نقل از افتانا، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) هشدار داده است که مهاجمان سایبری در حال سوءاستفاده فعال از یک آسیب‌پذیری با شدت بالا در نرم‌افزار SolarWinds Serv-U هستند؛ نقصی که می‌تواند باعث از کار افتادن سرویس و اختلال در عملکرد سرور‌ها شود.
 
Serv-U یکی از محصولات انتقال فایل شرکت SolarWinds است که روی سیستم‌عامل‌های ویندوز و لینوکس ارائه می‌شود و قابلیت‌های مدیریت انتقال فایل (MFT) و سرور FTP را در اختیار سازمان‌ها قرار می‌دهد. این نرم‌افزار امکان تبادل امن فایل‌ها از طریق پروتکل‌های HTTP/HTTPS، FTP، FTPS و SFTP را فراهم می‌کند.
 
شرکت SolarWinds روز پنج‌شنبه نسخه Serv-U ۱۵.۵.۴ Hotfix ۱ را برای رفع این آسیب‌پذیری منتشر کرد. این نقص با شناسه CVE-۲۰۲۶-۲۸۳۱۸ ردیابی می‌شود و ریشه آن به ضعف در مدیریت مصرف منابع سیستم بازمی‌گردد که می‌تواند به حملات منع سرویس (DoS) منجر شود.
 
بر اساس توضیحات منتشرشده از سوی این شرکت، مهاجمان می‌توانند با ارسال درخواست‌های POST دستکاری‌شده حاوی هِدِر «Content-Encoding: deflate» سرویس Serv-U را بدون نیاز به احراز هویت از کار بیندازند. این حمله به سطح دسترسی خاصی نیاز ندارد، پیچیدگی فنی پایینی دارد و بدون هیچ‌گونه تعامل کاربر قابل اجرا است.
 
SolarWinds به سازمان‌هایی که هنوز امکان نصب به‌روزرسانی امنیتی را ندارند توصیه کرده است دسترسی به سرویس را تنها به آدرس‌های شناخته‌شده محدود کنند و تمامی درخواست‌های POST حاوی عبارت «content-encoding» را مسدود سازند. به گفته این شرکت، سرویس آسیب‌پذیر Serv-U اساساً به این قابلیت نیاز ندارد و مسدودسازی آن تأثیری بر عملکرد عادی سرویس نخواهد داشت.
 
در حال حاضر پلتفرم اطلاعات اینترنتی Shodan بیش از ۱۲ هزار سرور Serv-U متصل به اینترنت را شناسایی کرده است. در همین حال، بنیاد Shadowserver نیز از وجود بیش از ۳۱۰۰ نمونه در معرض اینترنت خبر داده است. با این حال هنوز مشخص نیست چه تعداد از این سامانه‌ها به نسخه امن ارتقا یافته‌اند.
 
تنها چند روز پس از انتشار وصله امنیتی، CISA این آسیب‌پذیری را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد؛ فهرستی که شامل آسیب‌پذیری‌هایی است که شواهدی از بهره‌برداری واقعی آنها در حملات سایبری وجود دارد. این نهاد همچنین تمامی سازمان‌های دولتی زیرمجموعه قوه مجریه آمریکا را ملزم کرده است تا حداکثر تا ۱۹ ژوئن ۲۰۲۶ سامانه‌های خود را در برابر این تهدید ایمن‌سازی کنند. این دستور در چارچوب الزامات امنیتی BOD ۲۲-۰۱ صادر شده است.
 
اگرچه این الزام به‌طور مستقیم تنها شامل نهاد‌های دولتی آمریکا می‌شود، اما CISA از تمامی سازمان‌ها و تیم‌های امنیتی در بخش خصوصی نیز خواسته است هرچه سریع‌تر اقدامات لازم را برای مقابله با حملات مرتبط با CVE-۲۰۲۶-۲۸۳۱۸ انجام دهند. این آژانس هشدار داده است که چنین آسیب‌پذیری‌هایی همواره یکی از مسیر‌های محبوب مهاجمان سایبری برای نفوذ به سازمان‌ها محسوب می‌شوند و می‌توانند خطرات جدی برای زیرساخت‌های حیاتی و شبکه‌های سازمانی ایجاد کنند.
 
محصول Serv-U طی سال‌های اخیر بار‌ها هدف گروه‌های مجرم سایبری و بازیگران وابسته به دولت‌ها قرار گرفته است. این مهاجمان از آسیب‌پذیری‌های موجود در این نرم‌افزار برای سرقت اطلاعات حساس سازمانی و داده‌های مشتریان استفاده کرده‌اند. در سال ۲۰۲۱، گروه باج‌افزاری Clop از آسیب‌پذیری اجرای کد از راه دور CVE-۲۰۲۱-۳۵۲۱۱ برای نفوذ به شبکه‌های سازمانی سوءاستفاده کرد. در همان دوره نیز گروهی از هکر‌های چینی موسوم به DEV-۰۳۲۲ حملات روز صفر مبتنی بر همین آسیب‌پذیری را آغاز کردند. همچنین در ژوئن ۲۰۲۴ شرکت‌های امنیتی GreyNoise و Rapid۷ از بهره‌برداری فعال از آسیب‌پذیری پیمایش مسیر (Path Traversal) با شناسه CVE-۲۰۲۴-۲۸۹۹۵ در Serv-U خبر داده بودند.
 
بر اساس آمار منتشرشده، CISA طی چند سال گذشته تاکنون ۱۱ آسیب‌پذیری مختلف در محصولات SolarWinds را به‌عنوان تهدید‌های مورد سوءاستفاده فعال شناسایی کرده است. در میان آنها دست‌کم یک مورد نیز توسط گروه‌های باج‌افزاری در حملات واقعی مورد استفاده قرار گرفته است.