Pada Juli 2025, tim Imperva Threat Research mengidentifikasi lonjakan aktivitas mencurigakan yang menyasar server berbasis Rejetto HTTP File Server (HFS) versi 2.x. Ternyata ini adalah peluncuran kampanye malware masif—disebut Spray-and-Pray—yang memanfaatkan kerentanan kritis CVE-2024-23692, sebuah template injection server-side tanpa autentikasi dengan CVSS 9.8.
Modus Operandi Serangan
Para pelaku melakukan pemindaian masif untuk menemukan HFS 2.x yang rentan, dan dengan satu HTTP request khusus, template server dipaksa menjalankan macro exec melalui parameter search, memungkinkan eksekusi kode jarak jauh tanpa autentikasi. Data dari Imperva mencatat lebih dari 662 eksploitasi terhadap 55 domain pelanggan dalam beberapa hari.
Payload yang Digunakan
Malware yang diunggah termasuk:
- Farfli Trojan – downloader berbahaya (271 serangan),
- Zenpak Trojan (146 serangan),
- jqvtd Ransomware – jenis blocker (55 serangan).
Semua sampel menunjukkan koneksi ke server C2 di Hong Kong, mengindikasikan koordinasi tingkat lanjut.
Risiko dan Rekomendasi Mitigasi
HFS 2.x sudah tidak lagi mendapat pembaruan; sehingga menjadi pintu masuk ideal bagi serangan. Imperva merekomendasikan:
- Meningkatkan ke versi HFS 3.x, yang lebih aman;
- Memblokir outbound HTTP ke IP asing yang mencurigakan;
- Menerapkan sanitasi pola berbahaya dan batasi penggunaan PowerShell;
- Letakkan HFS di balik VPN atau portal SSO untuk membatasi akses langsung dari internet terbuka.
Tabel Ringkasan Serangan & Mitigasi
| Komponen | Detail |
| Kerentanan | Rejetto HFS 2.x – SSTI (CVE-2024-23692), CVSS 9.8 |
| Taktik Serangan | Spray-and-Pray: pemindaian masal + RCE via search param |
| Payload | Farfli, Zenpak, jqvtd (ransomware/trojan) |
| Lokasi C2 | Hong Kong |
| Mitigasi Utama | Upgrade ke HFS 3.x, blokir HTTP ke unknown IP, VPN/SSO |
Kesimpulan
Kampanye ransomware “Spray-and-Pray” yang menargetkan Rejetto HFS 2.x adalah alarm nyata bagi organisasi yang masih menggunakan software legacy tanpa patch dan eksposur internet terbuka. Penggunaan template injection membuktikan bahwa bahkan aplikasi sederhana dapat membawa risiko serius bila diabaikan. Langkah mitigasi yang proaktif sangat krusial—mulai dari peningkatan sistem, monitoring agresif, hingga pembatasan akses, demi mencegah serangan seperti ini.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan imperva indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
