Les chercheurs de AhnLab dévoilent une vague de cyberattaques ciblant les failles du logiciel open source HFS (HTTP File Server) qui permet de transférer des fichiers via le Web.

HFS, acronyme de HTTP File Server, est un outil de transfert de fichiers par le Web très populaire notamment parce qu’il est open source et multiplateformes. Si le logiciel est désormais en version 3.0, les éditions 2.x restent très populaires et diffusées notamment dans les milieux éducatifs, les équipes de développement et les utilisateurs individuels (particulièrement sous Linux). Et c’est tout le problème.

Car AhnLab vient de dévoiler une importante campagne de cyberattaques ciblant spécifiquement ces anciennes versions. Ces attaques visent à installer des logiciels malveillants et des outils de minage de cryptomonnaies (Monero) sur les systèmes compromis.

Une vulnérabilité critique exploitée

Selon les experts de la société de sécurité AhnLab, les pirates exploiteraient la vulnérabilité CVE-2024-23692, une faille de sécurité critique permettant l’exécution à distance de commandes arbitraires sans authentification. Rejetto, l’éditeur du logiciel HFS, n’a pas de correctif à cette vulnérabilité et invite les utilisateurs à rapidement migrer sur la version 3.x qui n’est pas affublée de la même faille.

Techniques d’attaque et logiciels malveillants déployés

Au cours de ces cyberattaques, les pirates collectent des informations sur le système ciblé, installent des portes dérobées et divers types de logiciels malveillants. Les chercheurs ont observé l’exécution de commandes telles que « whoami » et « arp » pour recueillir des informations sur le système et l’utilisateur actuel.

Dans de nombreux cas, les attaquants mettent fin au processus HFS après avoir ajouté un nouvel utilisateur au groupe des administrateurs, afin d’empêcher d’autres acteurs malveillants de l’utiliser. Parmi les attaquants, AhnLab aurait repéré des groupes derrière le botnet LemonDuck, une menace multiplateforme qui affecte aussi bien les machines Linux que Windows.

Parmi les charges utiles déployées sur les ordinateurs compromis, on trouve :

XMRig : Un outil de minage de la cryptomonnaie Monero.

XenoRAT : Utilisé pour l’accès et le contrôle à distance.

Gh0stRAT : Employé pour le contrôle à distance et l’exfiltration de données.

PlugX : Une porte dérobée généralement associée à des acteurs malveillants chinois.

GoThief : Un voleur d’informations utilisant Amazon AWS pour dérober des données.

Face à cette menace, il est fortement recommandé aux utilisateurs de HFS de mettre à jour leur logiciel vers la dernière version stable et sécurisée. Les administrateurs système devraient également surveiller attentivement leur réseau pour détecter toute activité suspecte et renforcer leurs mesures de sécurité globales.

Pour en savoir plus : Attack Cases Against HTTP File Server (HFS) (CVE-2024-23692)

 

À lire également :

Des cybercriminels usurpent l’identité de Cybermalveillance.gouv.fr

Pourquoi l’humain ne peut pas être le maillon faible de la cybersécurité

L’évolution des cyberattaques à l’ère de l’IA : défis et stratégies de réponse…

Leçons à tirer de la cyber attaque XZ Utils…