Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Допущенная в 2015 году программная ошибка в Openfire активно используется хакерами

28/09/23

OpenFire

Хакеры активно эксплуатируют критическую уязвимость в серверах обмена сообщениями Openfire для шифрования серверов вымогательским программным обеспечением, а также для развёртывания криптомайнеров, пишет Securitylab.

Openfire — это широко используемый базированный на Java открытый чат-сервер (XMPP), загруженный более 9 миллионов раз. Его используют для безопасного мультиплатформенного общения.

Уязвимость, получившая идентификатор CVE-2023-32315 , связана с обходом аутентификации в административной консоли Openfire. Это позволяет неавторизованным злоумышленникам создавать новые административные аккаунты на уязвимых серверах.

С помощью этих аккаунтов атакующие устанавливают вредоносные Java-плагины, выполняющие команды, полученные через HTTP-запросы.

Уязвимость затрагивает все версии Openfire с 3.10.0 (2015 год) до 4.6.7, а также с 4.7.0 до 4.7.4. Хотя проблема была решена в версиях 4.6.8, 4.7.5 и 4.8.0, выпущенных в мае 2023 года, к середине августа более 3000 серверов Openfire все ещё использовали уязвимую версию.

О признаках активной эксплуатации уязвимости сообщила российская компания Dr.Web. Первый случай был зафиксирован в июне 2023 года, когда компания исследовала вымогательскую атаку на сервер, взломанный благодаря эксплуатации CVE-2023-32315.

Злоумышленники воспользовались этой брешью, чтобы создать нового пользователя-администратора в Openfire, войти в систему и использовать его для установки вредоносного JAR-плагина, который может запускать произвольный код.

«Плагин позволяет выполнять команды интерпретатора командой строки на сервере с установленным ПО Openfire, а также запускать код, написанный на языке Java, который передаётся в POST-запросе к плагину», — сообщили исследователи.

Среди всех замеченных вредоносных java-плагинов были отмечены следующие: «helloworld-openfire-plugin-assembly.jar», «product.jar» и «bookmarks-openfire-plugin-assembly.jar».

Кроме вымогательского софта, Dr. Web выявила также дополнительные трояны, используемые в этих атаках, включая криптомайнер на базе Go под названием Kinsing.

Помимо Dr.Web об атаках на серверы Openfire сообщают и некоторые зарубежные СМИ. Так, серверы одной из иностранных компаний были зашифрованы с расширением «.locked1», а за восстановление доступа злоумышленники затребовали относительно небольшой по вымогательским меркам выкуп — от 0,09 до 0,12 биткоинов (2300 – 3500 долларов).

Эксперты настоятельно рекомендуют клиентам Openfire обновить программное обеспечение серверов до самых актуальных версий, чтобы обеспечить максимальную безопасность и защиту данных.

Темы:JavaУгрозы2015серверы
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Остались ли у нас секреты?
    Уитфилд Диффи – один из "пионеров" криптографии с открытым ключом и один из первых шифропанков – в своем интервью журналу Information Security рассказал, насколько важна криптография сегодня, что мы должны и можем защитить, а также о своем отношении к российской школе криптографии.
  • Применение криптографии в качестве сервиса для мобильных приложений
    Сергей Петренко, менеджер отдела научных исследований и развития продуктов, ОАО "ИнфоТеКС"
    Актуальность вопросов обеспечения информационной безопасности в мобильных устройствах растет вместе с популярностью их использования. В данной статье мы коротко рассмотрим некоторые аспекты применения криптографических методов защиты информации для мобильных платформ.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...