Underc0de
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Julio 07, 2024, 06:40:16 PM
(https://i.postimg.cc/4yjSJGpZ/HTTP-File-Server.png) (https://postimages.org/)
Se lanzó un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica de ejecución remota de código en el software del servidor de archivos HTTP (HFS), identificada como CVE-2024-39943.
Esta vulnerabilidad afecta a la versión 3 de HFS anterior a la 0.52.10 en sistemas Linux, UNIX y macOS, lo que permite a usuarios remotos autenticados con permisos de carga ejecutar comandos del sistema operativo debido al uso de execSync en lugar de spawnSync en el módulo child_process de Node.js.
Detalles de la vulnerabilidad
La vulnerabilidad surge porque HFS usa un shell para ejecutar el comando df, que los atacantes pueden aprovechar para ejecutar comandos arbitrarios en el sistema host. La Base de Datos Nacional de Vulnerabilidad (NVD) ha reconocido este problema pero aún no lo ha analizado completamente.
El exploit PoC de Truonghuuphuc demuestra cómo los atacantes pueden aprovechar esta falla para obtener control sobre los sistemas vulnerables.
https://github.com/truonghuuphuc/CVE-2024-39943-Poc
Al explotar esta vulnerabilidad, los atacantes pueden ejecutar comandos para recopilar información del sistema, crear cuentas de puerta trasera y potencialmente implementar malware. Este tipo de explotación puede provocar importantes violaciones de seguridad, incluido el robo de datos y el compromiso del sistema.
Mitigación
Se recomienda encarecidamente a los usuarios de HFS que actualicen a la versión 0.52.10 o posterior para mitigar esta vulnerabilidad.
La actualización soluciona el problema reemplazando execSync con spawnSync en el módulo child_process, evitando así la ejecución de comandos arbitrarios a través del shell.
Para implementar la versión HFS actualizada con la configuración necesaria, los usuarios pueden usar el siguiente comando:
./hfs --config config.yaml[/font][/size]
Los administradores deben asegurarse de que sus instalaciones HFS estén actualizadas a la última versión para protegerse contra posibles ataques que aprovechen esta vulnerabilidad.
Parchee su servidor de archivos HTTP (HFS) y evite la explotación
Actualice HFS a la versión 0.52.10 o posterior:
La vulnerabilidad se solucionó en la versión 0.52.10 de HFS. Asegúrese de descargar e instalar esta versión o cualquier versión posterior para mitigar el problema. Esta actualización reemplaza el uso de execSync con spawnSync en el módulo child_process de Node.js, lo que evita la ejecución de comandos arbitrarios del sistema operativo.
Deshabilite los permisos de carga temporalmente:
Si no puede actualizar HFS de inmediato, considere deshabilitar temporalmente los permisos de carga para todos los usuarios. Esto reducirá el riesgo de explotación hasta que se pueda aplicar la actualización.
Implementar mecanismos de autenticación sólidos:
Asegúrese de que existan mecanismos de autenticación sólidos. Revise y restrinja periódicamente los permisos de los usuarios, especialmente los permisos de carga, para minimizar el riesgo de acceso no autorizado.
Monitorear sistemas para actividades sospechosas:
Supervise continuamente sus sistemas en busca de actividades sospechosas o ejecuciones de comandos no autorizadas. Implementar mecanismos de registro y alerta para detectar posibles intentos de explotación.
Segmentación de la red:
Considere implementar la segmentación de la red para limitar el impacto potencial de la explotación. Esto puede ayudar a contener cualquier infracción y proteger los activos críticos.
Auditorías y actualizaciones periódicas:
Audite y actualice periódicamente todas las instancias de HFS en su entorno. Mantener el software actualizado es crucial para mantener la seguridad y proteger contra vulnerabilidades recién descubiertas.
Si sigue estos pasos, podrá mitigar eficazmente el riesgo que plantea la vulnerabilidad CVE-2024-39943 y proteger su servidor de archivos HTTP frente a una posible explotación.
Fuente:
Cyber Security News
https://cybersecuritynews.com/poc-exploit-http-file-server/