Los piratas informáticos están apuntando a versiones anteriores del servidor de archivos HTTP (HFS) de Rejetto para instalar malware y software de minería de criptomonedas.
Los investigadores de amenazas de la empresa de seguridad AhnLab creen que los actores de amenazas están explotando CVE-2024-23692un problema de seguridad de gravedad crítica que permite ejecutar comandos arbitrarios sin necesidad de autenticación.
La vulnerabilidad afecta a las versiones de software hasta la versión 2.3m incluida. En un mensaje publicado en su sitio web, Rejetto advierte a los usuarios que las versiones 2.3m a 2.4 son “peligrosas y ya no deberían usarse” debido a un error que permite a los atacantes “controlar su computadora”, y que aún no se ha encontrado ninguna solución.
Fuente: ASEC
Ataques observados
El Centro de inteligencia de seguridad de AhnLab (ASEC) ha observado ataques a la versión 2.3m de HFS, que sigue siendo muy popular entre usuarios individuales, equipos pequeños, instituciones educativas y desarrolladores que desean probar el intercambio de archivos en una red.
Debido a la versión del software objetivo, los investigadores creen que los atacantes están explotando CVE-2024-23692, una vulnerabilidad descubierta por el investigador de seguridad Arseniy Sharoglazov en agosto pasado y divulgada públicamente en un reporte técnico en mayo de este año.
CVE-2024-23692 es una vulnerabilidad de inyección de plantilla que permite a atacantes remotos no autenticados enviar una solicitud HTTP especialmente diseñada para ejecutar comandos arbitrarios en el sistema afectado.
Poco después de la divulgación, un módulo de metasploit y los exploits de prueba de concepto estuvieron disponibles. Según ASEC, fue por esta época cuando comenzó la explotación en estado salvaje.
Los investigadores dicen que durante los ataques, los piratas informáticos recopilan información del sistema, instalan puertas traseras y otros tipos de malware.
Los atacantes ejecutan comandos como “whoami” y “arp” para recopilar información sobre el sistema y el usuario actual, descubrir dispositivos conectados y, en general, planificar acciones posteriores.
Fuente: ASEC
En muchos casos, los atacantes finalizan el proceso HFS después de agregar un nuevo usuario al grupo de Administradores, para evitar que otros actores malintencionados lo utilicen.
Durante las siguientes fases de los ataques, ASEC observó la instalación de la herramienta XMRig para minar la criptomoneda Monero. Los investigadores señalan que XMRig se implementó en al menos cuatro ataques separados, uno de ellos atribuido al grupo de amenazas LemonDuck.
Otras cargas útiles entregadas a la computadora comprometida incluyen:
- XenoRAT – Implementado con XMRig para acceso y control remotos.
- Gh0stRAT – Se utiliza para control remoto y filtración de datos de sistemas pirateados.
- EnchufeX – Una puerta trasera asociada principalmente con actores de amenazas de habla china y utilizada para acceso persistente.
- ir ladrón – Un ladrón de información que utiliza Amazon AWS para robar datos. Realiza capturas de pantalla, recopila información sobre archivos de escritorio y envía datos a un servidor externo de comando y control (C2).
Fuente: ASEC
Los investigadores de AhnLab señalan que continúan detectando ataques en la versión 2.3m de HFS. Dado que el servidor debe estar expuesto en línea para que sea posible compartir archivos, los piratas informáticos seguirán buscando versiones vulnerables para atacar.
La variante recomendada del producto es la versión 0.52.x, que, aunque es una versión inferior, actualmente es la última versión HFS del desarrollador. Está basado en web, requiere una configuración mínima, admite HTTPS, DNS dinámico y autenticación para el panel de administración.
La empresa proporciona un conjunto de indicadores de compromiso en el relaciónque incluyen los hashes del malware instalado en los sistemas pirateados, las direcciones IP de los servidores de comando y control de los atacantes y las URL de descarga del malware utilizado en los ataques.