Популярный и уязвимый
Уязвимость в программных файловых серверах Rejetto HTTP File Server позволяет запускать любые команды на атакованной системе. Это дает возможность киберзлоумышленникам загружать в системы жертвам вредоносы и криминальные криптомайнеры. Источником проблемы, как полагают в компании AhnLab, является критическая уязвимость CVE-2024-23692, обеспечивающая возможность запуска произвольных команд без аутентификации.
Баг присутствует во всех версиях HTTP File Server (HFS) до 2.3m включительно. Эта свободная программа, созданная итальянским программистом Массимо Мелина (Rejetto), позволяет очень быстро организовать файловый веб-сервер в ОС Windows.
Стоит отметить, что Rejetto настоятельно не рекомендует использовать версии 2.3m и 2.4, поскольку уязвимость в них позволяет злоумышленникам контролировать компьютер пользователя, и что исправить этот баг пока не удается. Между тем версия 2.3m сохраняет популярность среди индивидуальных пользователей, небольших команд, в образовательных учреждениях и среди разработчиков, которые тестируют файлы, передавая их через сеть. Уязвимость CVE-2024-23692 относится к классу уязвимостей инъекции шаблона; она позволяет не аутентифицированному злоумышленнику исполнять произвольные команды в системе.
CVE-2024-23692 выявил в августе 2023 г. эксперт по кибербезопасности Арсений Шароглазов; индекс 2024 объясняется тем, что информация о проблеме была опубликована только в мае 2024 г.
Вскоре после этого появился модуль Metasploit с экспериментальными эксплойтами к уязвимости, а затем начались и практические попытки эксплуатировать уязвимость.
Причинение вреда с минимальными усилиями
Исследователи AhnLab отметили, что злоумышленники в этот раз стараются собрать информацию об атакуемой системе с помощью команд whoami и arp, а также устанавливают в нее бэкдоры и другие вредоносы.
В некоторых случаях злоумышленники останавливают процесс HFS в системе после того, как добавляют нового пользователя с административными правами, чтобы помешать другим хакерам воспользоваться той же уязвимостью. Желающих использовать уязвимость довольно много: по наблюдениям экспертов AhnLabs, в ходе как минимум четырех разных атак предпринимались попытки установить майнеры для криптовалюты Monero. Одну из этих атак удалось увязать с кибергруппировкой LemonDuck.
Кроме того, были выявлены такие вредоносы как XenoRAT (устанавливали вместе с XMRig для удаленного доступа скомпрометированной системой), GhostRAT, PlugX (бэкдор для постоянства доступа, ассоциируемый обыкновенно с китайской кибергруппировкой) и GoThief, инфостилер, способный делать скриншоты, собирать информацию о файлах на рабочем столе и пересылать эти сведения на контрольный сервер.
«Если уязвимость открывает возможность понаставить в одну и ту же систему целый ворох вредоносных программ, обычно это и происходит, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Злоумышленники всегда стремятся выжать все возможное с минимальными усилиями».
В AhnLab отмечают, что злоумышленники продолжают искать – и находить – уязвимые HFS версии и атаковать их.
Пользователям пакета рекомендуется перейти на версию 0.52.x: несмотря на более низкий индекс, это самый свежий релиз программы. Она требует минимальных настроек, поддерживает HTTPS и динамические значения DNS и лишена вышеупомянутой уязвимости.