Hackers invadem servidores da HFS
5 de Julho de 2024

Hackers estão mirando versões antigas do HTTP File Server (HFS) da Rejetto para inserir malware e softwares de mineração de criptomoedas.

Pesquisadores de ameaças na empresa de segurança AhnLab acreditam que os atacantes estão explorando a CVE-2024-23692, um problema de segurança de gravidade crítica que permite a execução de comandos arbitrários sem necessidade de autenticação.

A vulnerabilidade afeta versões do software até a 2.3m inclusa.

Em uma mensagem em seu site, a Rejetto adverte os usuários que versões de 2.3m até 2.4 são "perigosas e não devem ser mais usadas" devido a um bug que permite aos atacantes "controlar seu computador", e uma solução ainda não foi encontrada.

O AhnLab Security Intelligence Center (ASEC) observou ataques na versão 2.3m do HFS, que continua muito popular entre usuários individuais, pequenas equipes, instituições de ensino e desenvolvedores que querem testar compartilhamento de arquivos em uma rede.

Devido à versão do software visada, os pesquisadores acreditam que os atacantes estão explorando a CVE-2024-23692, uma vulnerabilidade descoberta pelo pesquisador de segurança Arseniy Sharoglazov em agosto do último ano e divulgada publicamente em um relatório técnico em maio deste ano.

A CVE-2024-23692 é uma vulnerabilidade de injeção de template que permite a atacantes remotos não autenticados enviar uma solicitação HTTP especialmente criada para executar comandos arbitrários no sistema afetado.

Logo após a divulgação, um módulo de Metasploit e explorações conceituais (proof of concept) se tornaram disponíveis.

Segundo o ASEC, foi mais ou menos nesse período que começou a exploração ativa.

Os pesquisadores dizem que, durante os ataques, os hackers coletam informações sobre o sistema, instalam backdoors e vários outros tipos de malware.

Atacantes executam comandos como "whoami" e "arp" para coletar informações sobre o sistema e o usuário atual, descobrir dispositivos conectados e, geralmente, planejar ações subsequentes.

Em muitos casos, os atacantes terminam o processo do HFS após adicionarem um novo usuário ao grupo dos administradores, para impedir que outros atores de ameaças o utilizem.

Nas próximas fases dos ataques, o ASEC observou a instalação da ferramenta XMRig para a mineração da criptomoeda Monero.

Os pesquisadores observam que o XMRig foi implementado em pelo menos quatro ataques distintos, um deles atribuído ao grupo de ameaças LemonDuck.

Outros payloads entregues ao computador comprometido incluem:

XenoRAT – Implementado junto com o XMRig para acesso e controle remoto.
Gh0stRAT – Usado para controle remoto e exfiltração de dados de sistemas comprometidos.
PlugX – Um backdoor associado principalmente a atores de ameaças que falam chinês e é usado para acesso persistente.
GoThief – Um ladrão de informações que usa a Amazon AWS para roubar dados.

Ele captura capturas de tela, coleta informações sobre arquivos de desktop e envia dados para um servidor externo de comando e controle (C2).

Os pesquisadores da AhnLab observam que continuam detectando ataques na versão 2.3m do HFS.

Como o servidor precisa estar exposto online para que o compartilhamento de arquivos seja possível, hackers provavelmente continuarão procurando por versões vulneráveis ​​para atacar.

A variante recomendada do produto é a 0.52.x, que, apesar de ser uma versão inferior, é atualmente o último lançamento do HFS pelo desenvolvedor.

É baseada na web, requer configuração mínima, vem com suporte para HTTPS, DNS dinâmico e autenticação para o painel administrativo.

A empresa fornece um conjunto de indicadores de comprometimento no relatório, que inclui hashes para o malware instalado em sistemas violados, endereços IP para servidores de comando e controle dos atacantes e as URLs para download do malware usado nos ataques.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...