Avviso di Sicurezza: Vulnerabilità critica nel server HFS di Rejetto sotto attacco

Redazione RHC : 5 Luglio 2024 10:30

AhnLab riferisce che gli hacker stanno prendendo di mira le versioni precedenti del file server HTTP (HFS) di Rejetto per iniettare malware e minatori di criptovaluta.

Tuttavia, Rejetto ha messo in guardia gli utenti dall’utilizzare le versioni da 2.3m a 2.4 a causa di un bug. La versione 2.3m è popolare tra singoli individui, piccoli team, istituti scolastici e sviluppatori che testano la condivisione di file in rete.

Il CVE-2024-23692 (punteggio CVSS: 9,8) è una vulnerabilità SSTI (Server Side Template Injection ) che consente a un utente malintenzionato remoto non autenticato di inviare richieste HTTP appositamente predisposte per eseguire comandi arbitrari su un sistema interessato. Il bug è stato scoperto per la prima volta nell’agosto 2023 e reso pubblico in un rapporto tecnico nel maggio di quest’anno.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Subito dopo la divulgazione delle informazioni, sono diventati disponibili il modulo Metasploit e l’exploit PoC della vulnerabilità. Secondo AhnLab a questo punto sono iniziati casi di vero e proprio sfruttamento. Durante gli attacchi, gli hacker raccolgono informazioni sul sistema, installano backdoor e vari tipi di malware. Durante gli attacchi, gli hacker raccolgono informazioni sul sistema e sull’utente corrente, oltre a cercare i dispositivi collegati e pianificare le azioni successive.

In molti casi, gli aggressori interrompono il processo HFS dopo aver aggiunto un nuovo utente al gruppo Administrators, impedendo ad altri aggressori di sfruttare la falla.

Nelle fasi successive degli attacchi, viene installato lo strumento XMRig per minare la criptovaluta Monero. XMRig è stato utilizzato in almeno quattro attacchi. Uno di questi è attribuito al gruppo LemonDuck.

Altri malware consegnati a un computer compromesso includono:

• XenoRAT – installato con XMRig per l’accesso e la gestione remota;
• Gh0stRAT – utilizzato per il controllo remoto e il furto di dati da sistemi hackerati;
• PlugX : una backdoor molto spesso associata ad hacker di lingua cinese, utilizzata per ottenere un accesso persistente;
• GoThief è un ladro di informazioni che utilizza Amazon AWS per rubare dati. Acquisisce screenshot, raccoglie informazioni sui file sul desktop e invia dati al server C2.

AhnLab continua a rilevare attacchi alla versione 2.3m. Poiché il server deve essere accessibile su Internet per la condivisione dei file, gli hacker continueranno a cercare versioni vulnerabili da attaccare.

Attualmente la versione del prodotto consigliata è 0.52.10. Nonostante il numero inferiore, questa è la versione più recente di HFS dello sviluppatore. AhnLab fornisce una serie di indicatori di compromissione nel suo rapporto, che includono hash di malware, indirizzi IP di server C2 e URL di download di malware.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli