SolarWinds Tambal Empat Celah Kritis Serv-U yang Berpotensi Beri Akses Root ke Server
SolarWinds merilis pembaruan keamanan untuk menutup empat kerentanan kritis pada produk Serv-U yang dapat dimanfaatkan penyerang guna memperoleh akses root atau administrator pada server yang belum diperbarui.
Serv-U merupakan solusi perangkat lunak transfer file self-hosted untuk Windows dan Linux yang menyediakan kemampuan Managed File Transfer (MFT) dan FTP server. Platform ini memungkinkan organisasi bertukar file secara aman melalui protokol FTP, FTPS, SFTP, dan HTTP/S.
CVE-2025-40538 Paling Berbahaya
Kerentanan paling serius yang ditambal dalam versi Serv-U 15.5.4 adalah CVE-2025-40538. Celah ini berkaitan dengan broken access control yang memungkinkan penyerang dengan hak akses tinggi membuat akun administrator sistem dan menjalankan kode arbitrer sebagai root.
Menurut advisory resmi SolarWinds, eksploitasi kerentanan ini memungkinkan pelaku dengan hak domain admin atau group admin meningkatkan hak akses hingga level sistem penuh.
Selain itu, SolarWinds juga memperbaiki dua celah type confusion dan satu kerentanan Insecure Direct Object Reference (IDOR) yang juga dapat dimanfaatkan untuk eksekusi kode dengan hak root.
Eksploitasi Butuh Hak Akses Awal
Meski tingkat keparahannya tinggi, seluruh kerentanan ini mensyaratkan penyerang telah memiliki hak akses tingkat tinggi di server target. Artinya, skenario eksploitasi kemungkinan melibatkan rantai eskalasi hak akses atau penggunaan kredensial administrator yang sebelumnya telah dicuri.
Berdasarkan data Shodan, lebih dari 12.000 server Serv-U terekspos ke internet. Namun, pemantauan Shadowserver memperkirakan jumlahnya kurang dari 1.200 instance yang benar-benar dapat diakses secara publik.
Riwayat Serv-U Sering Jadi Target
Perangkat lunak transfer file seperti Serv-U kerap menjadi sasaran karena memberikan akses langsung ke dokumen yang berpotensi berisi data sensitif perusahaan dan pelanggan.
Dalam lima tahun terakhir, berbagai kelompok kejahatan siber dan aktor negara telah mengeksploitasi kerentanan Serv-U untuk mencuri data. Kelompok ransomware Clop diketahui memanfaatkan celah remote code execution CVE-2021-35211 untuk menembus jaringan perusahaan dalam serangan pemerasan.
Peretas berbasis di Tiongkok yang dilacak Microsoft sebagai DEV-0322 juga menggunakan eksploit CVE-2021-35211 dalam serangan zero-day sejak Juli 2021.
Pada Juni 2024, perusahaan keamanan Rapid7 dan GreyNoise turut memperingatkan eksploitasi aktif terhadap kerentanan path traversal CVE-2024-28995, yang dimanfaatkan dengan proof-of-concept publik.
Saat ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) melacak sedikitnya sembilan kerentanan SolarWinds yang telah atau masih dieksploitasi di lapangan.
SolarWinds merekomendasikan seluruh pengguna Serv-U untuk segera memperbarui ke versi 15.5.4 guna memitigasi risiko, terutama bagi server yang terekspos ke internet atau mengelola data sensitif.
