HFSというものがあります。
HFSといってもここではAppleのHierarchical File Systemのことではありません。
ここでのHFSは、HTTP File Serverです。
HFSはWebブラウザでアクセスできるファイルサーバを手軽に構築できる寄付歓迎のフリーソフトです。
このHFSで脆弱性を悪用した攻撃が発生していることが観測されています。
- CVE-2024-23692
これが今回悪用が確認されているテンプレートインジェクションの脆弱性です。
攻撃者はHFSにコマンドが含まれたパケットを送信し、HFSに開発者の意図しないコマンドを実行させることができてしまいます。
この外部からの操作で、マルウェアのインストールや、操作権限を奪うことができます。
この脆弱性が公開されたのは2024年5月でした。 - PoCの公開
PoCは概念実証です。
CVE-2024-23692の公開後時間を空けることなく、CVE-2024-23692の概念実証エクスプロイトとMetasploitモジュールが公開されました。
公開者の意図は研究目的なのだと思いますが、このコードを使用すれば実際の攻撃が可能になります。 - 攻撃の流れ
観測された攻撃事例では、次のような流れでした。
脆弱なバージョンのHFSを見つける→接続しOSに管理アカウントを追加する→管理アカウントで接続する→HFSを終了させる→各種マルウェアの利用を開始する、という感じです。 - 送り込まれるマルウェア
いくつものマルウェアが送り込まれます。
クリプトマイニング型マルウェアのXMRig、リモートアクセスのためのXenoRAT、リモート制御とデータ流出に使えるGh0stRAT、バックドア型マルウェアのPlugX、Amazon AWSを使用してデータを盗むインフォスティーラー型マルウェアのGoThief、などが見られます。
HFSは直接Webサーバを構築することなく実行ファイルを起動するだけでWebサービスを提供できるため、ファイル共有の目的で頻繁に使用されています。
サービスを提供する側も簡単ですが、利用する側もWebブラウザを通じてアドレスに接続するだけで、簡単にファイルをダウンロードできます。
このHFSですが、少し前までは最新バージョンは2.3とか2.4とかでした。
実際の利用者数が多いバージョンは2.3mと考えられます。
しかしこのあたりの新しいバージョンの多くに今回の脆弱性の影響があることが分かりました。
この脆弱性に対応した2系の新しいバージョンはまだ提供されていません。
HFSの作者のサイトを見ますと、現在の最新の推奨バージョンは0.52.10となっています。
そのうち2系の新しいバージョンが公開されるかもしれませんが、現時点ではこれが最新です。
HFSはWindowsでもmacOSでもLinuxでも使えるソフトウェアです。
使っている人はバージョンを確認して推奨バージョンに変更しましょう。
HFSサーバーを対象とする攻撃事例(CVE-2024-23692 推定)
https://asec.ahnlab.com/jp/67690/
| この記事をシェア |
|
|---|
