Исследователи компании AhnLab сообщают о многочисленных случаях атак на старые версии файловых HTTP File Server (HFS) от Rejetto. HFS - это программа, которая позволяет чрезвычайно быстро и легко организовать файловый веб-сервер в операционной системе Windows. Из-за своей простоты и удобства она пользуется большой популярностью. Летом прошлого года исследователь Арсений Шароглазов обнаружил критическую уязвимость HFS. Она получила идентификатор CVE-2024-23692, а степень ее опасности была оценена в 9,8 балла по десятибалльной шкале.

CVE-2024-23692 является уязвимостью внедрения шаблона. Она потенциально позволяет злоумышленнику, не проходя аутентификацию, направить на уязвимую систему специально сформированный HTTP-запрос, что повлечет за собой удаленное исполнение произвольных команд. Описание и подробный отчет об уязвимости были опубликованы в мае нынешнего года. И практически сразу же CVE-2024-23692 взяли на вооружение хакеры. Они используют уязвимость для сбора информации о системе, установки бэкдоров и другого вредоносного ПО.

Как отмечают специалисты AhnLab, во многих случаях после добавления нового пользователя в группу администраторов киберпреступники прерывают процесс HFS, чтобы «закрыть лазейку» для других хакерских групп. После этого злоумышленники загружают различные вредоносные инструменты. В частности, это инфостилеры, которые служат для похищения информации, и бэкдоры, которые обеспечивают постоянный устойчивый доступ к системе. Кроме того, во многих случаях на скомпрометированные системы загружается XMRig - инструмент для майнинга криптовалюты Monero.

Проблема затрагивает версию HFS 2.3m и более ранние. Пользователям рекомендовано срочно перейти на версию 0.52.x. Более низкий по сравнению с 2.3m номер не должен вводить в заблуждение: именно эта версия является на данный момент самой актуальной и безопасной.