El 5 de junio de 2024, SolarWinds publicó un aviso de seguridad alertando sobre CVE-2024-28995, un fallo de Directory Traversal en sus soluciones Serv-U FTP y MFT que permitía a un atacante remoto e incluso no autenticado acceder a cualquier archivo del sistema de ficheros subyacente. Apenas dos semanas después, el 18 de junio, los investigadores de GreyNoise confirmaron en un blog la detección de intentos automatizados y manuales de explotación en honeypots desplegados para capturar tráfico malicioso en el puerto FTP/MFT :contentReference[oaicite:0]{index=0}.
Modo de ataque y alcance
La vulnerabilidad residía en la insuficiente validación de los parámetros InternalDir e InternalFile en las peticiones GET a la raíz del servicio. Al insertar secuencias de rutas ascendentes (../) dentro de esos parámetros, los atacantes podían escapar del entorno chroot del servidor y solicitar ficheros como /etc/passwd, logs de Serv-U o archivos de configuración con credenciales en texto claro. Rapid7 publicó un PoC que mostraba cómo, con una simple URL construida, se podían descargar backups de bases de datos y otros documentos críticos, y GreyNoise detectó decenas de miles de intentos de acceso no autorizado en instalaciones expuestas :contentReference[oaicite:1]{index=1}.
Impacto en operaciones y finanzas
Las organizaciones afectadas se vieron forzadas a suspender el servicio de Serv-U durante al menos 72 horas para aplicar el hotfix y rotar credenciales comprometidas. Esta interrupción provocó retrasos en las transferencias de datos y en los procesos de transferencia gestionada (MFT), con impactos directos en cadenas de suministro y facturación electrónica. Además, los costes derivados de las notificaciones bajo GDPR, junto con las auditorías de seguridad y la recuperación de sistemas, superaron los 2,5 millones de euros en conjunto para varias entidades europeas :contentReference[oaicite:2]{index=2}.
Recomendaciones y respuesta institucional
SolarWinds lanzó el parche Serv-U 15.4.2 HF 2 el 6 de junio de 2024 y aconsejó su aplicación inmediata. Las agencias de ciberseguridad, incluido el CERT-EU, instaron a restringir el acceso al puerto FTP/MFT desde redes no confiables, configurar listas blancas de rutas permitidas y reforzar el aislamiento de los servicios mediante entornos chroot correctamente configurados. También se recomendó la monitorización continua de logs de acceso y la realización de pruebas de penetración centradas en traversal para asegurar que no quedaran vectores abiertos tras la actualización :contentReference[oaicite:3]{index=3}.