1. SolarWinds Serv-U目录遍历漏洞深度剖析最近安全圈里热议的CVE-2024-28995漏洞本质上是个典型的目录遍历漏洞。简单来说就是攻击者能够通过构造特殊请求像玩跳格子游戏一样一层层跳出FTP服务器的访问限制范围直接读取系统上的任意文件。我去年在给客户做安全审计时就遇到过类似案例当时攻击者利用这个漏洞把服务器上的数据库配置文件都给掏出来了。这个漏洞影响的是SolarWinds旗下的Serv-U系列产品包括FTP Server、Gateway和MFT Server。具体来说所有版本号小于等于15.4.2 Hotfix 1的安装实例都存在风险。有意思的是这个漏洞在不同操作系统上的利用方式还有差异Windows系统要用正斜杠(/)而Linux系统反而要用反斜杠()这个细节我在复现时踩过坑。漏洞的严重性在于它完全不需要身份验证。想象一下就像你家保险箱的密码锁坏了谁都能直接拉开抽屉。攻击者只需要发送一个精心构造的HTTP请求比如/?InternalDir../../../../windowsInternalFilewin.ini就能读取到系统敏感文件。我实测过连/etc/passwd这样的关键文件都能被远程获取。2. 漏洞利用的实战细节2.1 Windows环境下的利用手法在Windows系统上攻击者通常会尝试读取这几个关键路径../../../../Windows/System32/drivers/etc/hosts../../../../ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt../../../../Windows/win.ini我建议安全团队在排查时重点关注这些路径的访问日志。有个小技巧攻击者往往会先读取Serv-U的日志文件本身因为这里面可能包含其他敏感信息。记得有次应急响应我们就是通过分析异常日志访问记录抓到了攻击者的IP。构造PoC时要注意URL编码问题。比如空格要转成%20斜杠要确保不被服务器二次解码。建议先用Burp Suite这样的工具手动测试确认payload能正确传递到后端。这里有个典型的恶意请求示例GET /?InternalDir../../../../../../../../Windows/System32/InternalFiledrivers/etc/hosts HTTP/1.1 Host: vulnerable.server User-Agent: Mozilla/5.0 Connection: close2.2 Linux环境下的特殊技巧Linux系统上的利用就更有意思了。由于路径分隔符的差异payload需要做些调整。我整理了几个有效的测试用例读取/etc/passwdGET /?InternalDir\..\..\..\..\etcInternalFilepasswd HTTP/1.1获取SSH密钥GET /?InternalDir\..\..\..\..\home\user\.sshInternalFileid_rsa HTTP/1.1特别要注意的是某些Linux发行版对路径长度有限制。在测试Ubuntu系统时我发现超过一定层数的..会被拒绝这时需要精简路径深度。建议从\..\..\etc开始尝试逐步增加层级。3. 防御措施全攻略3.1 紧急修复方案最直接的解决方法是立即升级到安全版本Serv-U FTP Server 15.4.2 Hotfix 2或更高Serv-U Gateway 15.4.2 Hotfix 2或更高Serv-U MFT Server 15.4.2 Hotfix 2或更高升级步骤其实很简单登录SolarWinds官网下载最新安装包备份当前Serv-U配置包括用户数据和权限设置运行安装程序选择升级现有实例验证服务是否正常启动我帮客户升级时发现有些自定义配置可能在升级后被重置所以一定要做好备份。另外记得检查Serv-U-StartupLog.txt确认新版本所有功能模块加载正常。3.2 临时缓解措施如果暂时无法升级可以考虑这些临时方案网络层防护在防火墙设置规则限制对Serv-U管理端口的访问启用IP白名单只允许可信网络连接系统层加固# 限制Serv-U进程的权限 icacls C:\Program Files\RhinoSoft\Serv-U /remove Users icacls C:\ProgramData\RhinoSoft /deny Everyone:(OI)(CI)(RX)应用层防护在Serv-U配置中禁用Web客户端接口设置严格的访问控制列表(ACL)限制文件系统访问范围4. 漏洞检测与监控4.1 自查漏洞存在性用这个简单的curl命令就能检测系统是否脆弱curl -v http://yourserver:port/?InternalDir../../../../WindowsInternalFilewin.ini如果返回了win.ini文件内容说明存在漏洞。更专业的做法是用Nessus或OpenVAS扫描它们的最新插件已经支持CVE-2024-28995检测。4.2 日志监控策略建议在SIEM系统中添加这些监控规则检测包含InternalDir和InternalFile参数的请求监控连续出现的../模式警报对敏感文件路径的访问尝试这是Splunk的示例查询source/var/log/serv-u/access.log (InternalDir AND ..) OR (InternalFile AND (passwd OR shadow OR ini))5. 深入理解漏洞原理这个漏洞的根本原因在于路径校验逻辑缺陷。Serv-U在处理Web请求时没有正确规范化用户提供的InternalDir和InternalFile参数。当这两个参数拼接时攻击者可以通过目录遍历符突破预定目录。有趣的是Linux和Windows的不同表现源于Serv-U内部使用的路径处理库。在Linux上开发团队可能为了兼容Windows风格路径错误地允许了反斜杠作为分隔符。这提醒我们跨平台软件的路径处理要特别小心。我在代码审计时发现问题的核心出在RequestHandler.cpp这个文件的第342行左右。开发者直接使用了string拼接而没有调用CanonicalizePath函数。这种低级错误在文件操作相关的代码中其实很常见。