【战鹰】《关于 CVE-2024-23692 高危漏洞大规模利用的警告》

admin

近期互联网上披露了一个编号为 CVE-2024-23692 的高危漏洞
目前在蜜罐上已捕捉到黑客的大规模利用行为
仅24小时内就能捕捉到9次的利用攻击
下面是一个今天下午18时左右的利用攻击报告

• 概述
  

此次网络安全事件涉及一个利用CVE-2024-23692漏洞进行HFS2.3m提权的恶意软件。该病毒主要用于对外发起DDoS攻击。本文档详细分析了攻击来源、入侵方式以及对外攻击的具体情况。

• 攻击来源
  

- C&C服务器IP: 27.124.21.130:8080
- 渗透IP: 203.160.72.222

• 入侵方式
  

- 漏洞利用: CVE-2024-23692 (HFS2.3m提权漏洞)
- HFS (HTTP File Server): 是一款轻量级文件服务器软件，允许用户在局域网或互联网上通过HTTP协议共享文件。版本2.x存在提权漏洞，黑客利用该漏洞获得目标系统的管理员权限，通过 .vbs 脚本下载并运行DDoS病毒。

• 入侵时间
  

- 2024年6月20日 18:12:21（CST）

• 漏洞详细信息
  

- CVE编号: CVE-2024-23692
- 漏洞描述: HFS2.3m存在一个高危提权漏洞，攻击者可以通过构造特定的HTTP请求包绕过权限控制，提升到系统管理员权限。
- 影响版本: HFS 2.3m及以下版本
- 解决方案: 升级到HFS最新版本，或应用厂商提供的补丁。

• 病毒分析
  

传播途径
- 漏洞利用: 攻击者通过扫描互联网公开的HFS2.3m服务，利用已知的提权漏洞进行入侵。
- 渗透IP: 203.160.72.222

• 执行机制
  

1. 扫描与入侵: 攻击者使用自动化工具扫描目标网络中的HFS2.3m服务，发现开放的端口后，通过提权漏洞获取管理员权限。渗透活动来自IP地址 203.160.72.222。
2. 病毒植入: 提权成功后，攻击者在目标系统中通过 http://27.124.21.130 下载并植入病毒。该病毒用于连接C&C服务器 27.124.21.130:8080，以接受攻击指令。

3. DDoS攻击: 一旦连接到C&C服务器，病毒开始按照指令对外发起DDoS攻击。

• 攻击目的
  

- DDoS攻击: 通过感染大量主机，形成僵尸网络（Botnet），对指定目标进行分布式拒绝服务攻击，导致目标服务器崩溃或无法正常服务。

• 防护建议
  

1. 升级软件: 确保所有HFS服务软件版本更新至最新版本，避免使用存在已知漏洞的旧版本。
2. 网络监控: 实时监控网络流量，发现异常流量及时采取措施。
3. 防火墙设置: 配置防火墙，限制不必要的端口和IP访问。尤其是对 203.160.72.222 和 27.124.21.130:8080 的访问应特别注意。
4. 入侵检测系统 (IDS): 部署IDS，及时发现并阻止潜在的入侵行为。

• 结论
  

- 此次入侵事件利用CVE-2024-23692（HFS2.3m提权漏洞）进行系统控制，植入恶意软件用于DDoS攻击。通过及时的漏洞修复和有效的网络防护措施，可以大大降低类似攻击事件的发生。
因为目前HFS的官方团队 rejetto 已宣布 HFS2.X 版本及更低版本已停止支持，所以不再提供HFS2.X版本的修复补丁。因此官方团队 rejetto 建议用户升级到 HFS 3 版本以修复漏洞。

---

• 附录
  

CVE-2024-23692详细信息
- 漏洞名称: HFS 2.3m 权限提升漏洞
- 影响版本: HFS 2.3m及以下版本
- 漏洞描述: 攻击者可以通过构造特定的请求包绕过权限控制，获得系统的管理员权限。
- 解决方案: 升级到HFS最新版本，或应用厂商提供的补丁。

• 相关IP与域名
  

- 渗透IP: 203.160.72.222
- C&C服务器IP: 27.124.21.130:8080
- 建议将这两个IP列入防火墙的黑名单，阻止与这些IP的所有通信。

• 参考文献
  

- https://mohemiv.com/all/rejetto-http-file-server-2-3m-unauthenticated-rce/

• 样本下载
  

- 病毒样本放在下面，解压密码：www.zhanyingwl.com