Kötü niyetli aktörler, kötü amaçlı yazılım ve kripto para madenciliği yazılımlarını dağıtmak için güvenlik açıklarından yararlanarak Rejetto’dan HTTP Dosya Sunucularını (HFS) hedef alıyor. Tehdit aktörleri özellikle, kimlik doğrulaması olmadan keyfi komutların uzaktan yürütülmesine izin veren kritik bir güvenlik açığı olan CVE-2024-23692’yi kullanıyor.
HTTP Dosya Sunucusu (HFS), dosya paylaşımı için yaygın olarak kullanılan hafif bir web sunucusu yazılımıdır. Kurulumu ve işletimindeki basitlik onu popüler hale getirir ve kullanıcıların internet üzerinden dosyaları kolayca paylaşmasına olanak tanır.
CVE-2024-23692 Güvenlik Açığının İstismarı
CVE-2024-23692 güvenlik açığı, saldırganların sunucuyu tehlikeye atmak için uzaktan kötü amaçlı komutlar göndermesini sağlayarak 2.3m’ye kadar HFS sürümlerini etkiler. Bu kusur, keşfedildiği günden bu yana tehdit aktörleri tarafından aktif olarak istismar edildi ve Rejetto’nun kullanıcıları kötü amaçlı kontrole karşı hassas olmaları nedeniyle 2.3m’den 2.4’e kadar olan sürümlerden kaçınmaları yönündeki uyarılarına yol açtı.
AhnLab’ın Güvenlik İstihbarat Merkezi (ASEC), saldırganların HFS sunucularına sızmak için CVE-2024-23692 güvenlik açığını kullandığı çok sayıda örneği izledi. Tehdit aktörleri, tehlikeye atıldıktan sonra genellikle sistem bilgilerini toplamak, arka kapı hesapları oluşturmak ve kötü amaçlı faaliyetlerini tamamladıktan sonra HFS sürecini sonlandırarak varlıklarını gizlemek için komutlar yürütür.
“HFS, kullanıcıların HFS web sunucusuna bağlanmasını ve dosya indirmesini sağlamak için halka açık olduğundan, bir güvenlik açığı varsa harici saldırıların hedefi olabilir. Mayıs 2024’te, HFS’de bir uzaktan kod yürütme güvenlik açığı (CVE-2024-23692) duyuruldu. Tehdit aktörü bunu kullanarak HFS’ye komutlar içeren paketler gönderebilir ve kötü amaçlı komutları yürütmesini sağlayabilir. En son sürüm olmasa da, güvenlik açığı birçok kullanıcı tarafından kullanılan “HFS 2.3m”yi etkiliyor.” diyor AhnLab.
CoinMiner Dağıtımları ve Çeşitli Kötü Amaçlı Yazılım Türleri
Gözlemlenen kötü amaçlı yükler arasında, XMRig, Monero kripto para birimi madenciliği için tercih edilen bir araç olarak öne çıkıyor. LemonDuck gibi tehdit grupları tarafından konuşlandırılan bu CoinMiner, bu saldırıları yönlendiren finansal nedenleri vurguluyor.
CoinMiners’a ek olarak, saldırganlar çeşitli Uzaktan Erişim Truva Atları (RAT’ler) ve arka kapı kötü amaçlı yazılımları tanıttılar. Örnekler arasında XenoRAT, Gh0stRAT ve PlugX bulunur; her biri farklı casusluk ve kontrol amaçlarına hizmet eder ve genellikle Çince konuşan tehdit aktörleriyle ilişkilendirilir.
Özellikle GoThief, enfekte sistemlerden hassas bilgileri sızdırmak için Amazon AWS hizmetlerinden yararlanan karmaşık bir tehdit olarak ortaya çıkmıştır. Go dilinde geliştirilen GoThief, ekran görüntüleri alır ve bunları sistem verileriyle birlikte bir komuta ve kontrol sunucusuna yükler.
CVE-2024-23692 istismarının yaygınlığı, HFS kullanıcılarının güvenli sürümlere derhal güncelleme yapmaları için kritik bir ihtiyaç olduğunu vurgulamaktadır. Tehdit aktörleri ve saldırı yöntemleri zamanla keskinleştikçe, zamanında güncellemeler ve dikkatli izleme yoluyla yazılım bütünlüğünü korumak, savunmasız yazılımlarla ilişkili riskleri azaltmak için son derece önemli olmaya devam etmektedir.