ADVERTENCIA: VULNERABILIDAD DE EJECUCIÓN REMOTA DE CÓDIGO EXPLOTADA ACTIVAMENTE EN EL SERVIDOR DE ARCHIVOS HTTP. | Cert
Software afectado:
Servidor de archivos HTTP Rejetto, versión 2.4.O RC7 y 2.3m
Tipo:
Ejecución remota de código (RCE)
CVE/CVSS:
CVE-2024-23692: CVSS 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Fuentes
NVD – https://nvd.nist.gov/vuln/detail/CVE-2024-23692
Riesgos
CVE-2024-23692 es una vulnerabilidad de ejecución remota que afecta al servidor de archivos HTTP (HFS). La explotación exitosa de esta vulnerabilidad podría permitir que un atacante no autenticado ejecute remotamente comandos arbitrarios en los servidores HFS afectados, lo que daría lugar a una variedad de actividades maliciosas.
Los investigadores de seguridad de AhnLab Security Intelligence Center (ASEC) han emitido una advertencia crítica para todos los usuarios de HFS, ya que CVE-2024-23692 ha sido explotado por actores maliciosos para implementar troyanos de acceso remoto (RAT) como GhOstRAT, PlugX y XenoRAT para su persistencia en los sistemas afectados.
La explotación de esta vulnerabilidad tiene un alto impacto en la confidencialidad, integridad y disponibilidad.
Se publicó una prueba de concepto (PoC) para CVE-2024-23692 para demostrar cómo un actor de amenazas podría explotar esta vulnerabilidad.
Descripción
La vulnerabilidad CVE-2024-23692 es una vulnerabilidad crítica de ejecución remota de código (puntuación CVSS 9,8) que afecta a las versiones 2.4.O y 2.3m del servidor de archivos HTTP de Rejetto. Esta vulnerabilidad podría permitir a un atacante remoto ejecutar códigos arbitrarios en los sistemas afectados mediante el envío de una solicitud especialmente diseñada. Rejetto HFS 2.3m ya no recibe soporte, los usuarios deben actualizar a la versión 3.x que no sufre la vulnerabilidad.
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) ha observado una variedad de ataques cibernéticos dirigidos a servidores HFS para:
- Implementar RAT como GhOstRAT, PlugX y XenoRAT para la persistencia en sistemas comprometidos
- Infiltrarse con el malware GoThief, que filtra datos confidenciales a través de Amazon AWS.
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables con la máxima prioridad, después de realizar pruebas exhaustivas.
No hay ningún parche disponible para la versión 2.x de HFS, ya que sus mantenedores ya no le dan soporte. Sin embargo, se recomienda encarecidamente a los usuarios que actualicen a la versión 3.x de Rejetto HFS, que no se ve afectada por esta vulnerabilidad.
Monitorizar/Detectar
El CCB recomienda que las organizaciones mejoren las capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar un incidente a través de: https://cert.be/es/reportar-incidente
Si bien actualizar los dispositivos o el software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no remedia los ataques históricos.
Referencias
Asec.ahnlab – https://asec.ahnlab.com/es/67650/
Seguridad en línea – https://securityonline.info/cve-2024-23692-falla-rce-no-autenticada-en-r…