Хакеры атакуют серверы HFS для распространения вредоносного ПО и майнеров

Неизвестные хакеры проводят атаки на старые версии HTTP File Server (HFS) от Rejetto, чтобы внедрять вредоносное ПО и софт для майнинга криптовалют. Эксперты компании полагают, что хакеры эксплуатируют критическую уязвимость CVE-2024-23692, которая позволяет выполнять произвольные команды без необходимости аутентификации, сообщает издание Bleeping Computer.

По словам аналитиков, уязвимость затрагивает версии программного обеспечения до 2.3m включительно. В сообщении на своём официальном сайте Rejetto предупреждает пользователей, что версии с 2.3m по 2.4 «опасны и не должны больше использоваться» из-за ошибки, которая позволяет злоумышленникам «контролировать ваш компьютер», и исправление пока не найдено.

Центр разведки и безопасности AhnLab (ASEC) обнаружил хакерские атаки на версию 2.3m HFS, которая по-прежнему пользуется большой популярностью среди простых пользователей, небольших фирм, образовательных учреждений и разработчиков, желающих протестировать обмен файлами по сети. Исследователи предполагают, что злоумышленники эксплуатируют уязвимость CVE-2024-23692, обнаруженную исследователем безопасности Арсением Шароглазовым в августе прошлого года и публично раскрытую в техническом отчёте в мае этого года.

В AhnLab утверждают, что во время атак хакеры собирают информацию о системе, устанавливают бэкдоры и различные другие виды вредоносного ПО. Злоумышленники выполняют команды типа «whoami» и «arp» для сбора информации о системе и текущем пользователе, обнаружения подключённых устройств и общего планирования последующих действий. Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, чтобы помешать другим субъектам угроз использовать его.

В AhnLab также отмечают, что они продолжают обнаруживать атаки на версию 2.3m HFS. Поскольку сервер должен быть доступен онлайн для обмена файлами, хакеры будут продолжать искать уязвимые версии для атак.