Допущенная в 2015 году программная ошибка в Openfire активно используется хакерами
28/09/23
Хакеры активно эксплуатируют критическую уязвимость в серверах обмена сообщениями Openfire для шифрования серверов вымогательским программным обеспечением, а также для развёртывания криптомайнеров, пишет Securitylab.
Openfire — это широко используемый базированный на Java открытый чат-сервер (XMPP), загруженный более 9 миллионов раз. Его используют для безопасного мультиплатформенного общения.
Уязвимость, получившая идентификатор CVE-2023-32315 , связана с обходом аутентификации в административной консоли Openfire. Это позволяет неавторизованным злоумышленникам создавать новые административные аккаунты на уязвимых серверах.
С помощью этих аккаунтов атакующие устанавливают вредоносные Java-плагины, выполняющие команды, полученные через HTTP-запросы.
Уязвимость затрагивает все версии Openfire с 3.10.0 (2015 год) до 4.6.7, а также с 4.7.0 до 4.7.4. Хотя проблема была решена в версиях 4.6.8, 4.7.5 и 4.8.0, выпущенных в мае 2023 года, к середине августа более 3000 серверов Openfire все ещё использовали уязвимую версию.
О признаках активной эксплуатации уязвимости сообщила российская компания Dr.Web. Первый случай был зафиксирован в июне 2023 года, когда компания исследовала вымогательскую атаку на сервер, взломанный благодаря эксплуатации CVE-2023-32315.
Злоумышленники воспользовались этой брешью, чтобы создать нового пользователя-администратора в Openfire, войти в систему и использовать его для установки вредоносного JAR-плагина, который может запускать произвольный код.
«Плагин позволяет выполнять команды интерпретатора командой строки на сервере с установленным ПО Openfire, а также запускать код, написанный на языке Java, который передаётся в POST-запросе к плагину», — сообщили исследователи.
Среди всех замеченных вредоносных java-плагинов были отмечены следующие: «helloworld-openfire-plugin-assembly.jar», «product.jar» и «bookmarks-openfire-plugin-assembly.jar».
Кроме вымогательского софта, Dr. Web выявила также дополнительные трояны, используемые в этих атаках, включая криптомайнер на базе Go под названием Kinsing.
Помимо Dr.Web об атаках на серверы Openfire сообщают и некоторые зарубежные СМИ. Так, серверы одной из иностранных компаний были зашифрованы с расширением «.locked1», а за восстановление доступа злоумышленники затребовали относительно небольшой по вымогательским меркам выкуп — от 0,09 до 0,12 биткоинов (2300 – 3500 долларов).
Эксперты настоятельно рекомендуют клиентам Openfire обновить программное обеспечение серверов до самых актуальных версий, чтобы обеспечить максимальную безопасность и защиту данных.