Οι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια υψηλής σοβαρότητας στους διακομιστές μηνυμάτων Openfire για να κρυπτογραφήσουν διακομιστές με ransomware και να αναπτύξουν cryptominers.
Το
Openfire είναι ένας ευρέως χρησιμοποιούμενος διακομιστής συνομιλίας ανοιχτού κώδικα (XMPP) που βασίζεται σε Java, ο οποίος έχει ληφθεί 9 εκατομμύρια φορές και χρησιμοποιείται εκτενώς για ασφαλείς επικοινωνίες συνομιλίας πολλαπλών πλατφορμών.
Το ελάττωμα, παρακολουθείται ως
CVE-2023-32315
είναι μια παράκαμψη ελέγχου ταυτότητας που επηρεάζει την κονσόλα διαχείρισης του Openfire, επιτρέποντας σε μη
επα
ληθευμένους εισβολείς να δημιουργούν νέους λογαριασμούς διαχειριστή σε ευάλωτους διακομιστές.
Χρησιμοποιώντας αυτούς τους λογαριασμούς, οι εισβολείς εγκαθιστούν κακόβουλα πρόσθετα Java (αρχεία JAR) που εκτελούν εντολές που λαμβάνονται μέσω αιτημάτων GET και POST HTTP.
Αυτό το επικίνδυνο ελάττωμα επηρεάζει όλες τις εκδόσεις Openfire από την 3.10.0, που χρονολογούνται από το 2015, έως την 4.6.7 και από την 4.7.0 έως την 4.7.4.
Αν και το Openfire διόρθωσε το
πρόβλημα
με τις εκδόσεις 4.6.8, 4.7.5 και 4.8.0,
κυκλοφόρησε τον Μάιο του 2023
το VulnCheck ανέφερε ότι μέχρι τα μέσα Αυγούστου 2023, περισσότεροι από 3.000 διακομιστές Openfire εξακολουθούσαν να εκτελούν μια ευάλωτη έκδοση.
Ο Dr. Web αναφέρει τώρα σημάδια ενεργητικής εκμετάλλευσης, καθώς οι χάκερ έχουν εκμεταλλευτεί την επιφάνεια επίθεσης για τις κακόβουλες εκστρατείες τους.
Η πρώτη περίπτωση ενεργητικής εκμετάλλευσης που παρατηρήθηκε από τον Dr. Web χρονολογείται τον Ιούνιο του 2023, όταν η εταιρεία ασφαλείας διερεύνησε μια επίθεση ransomware σε διακομιστή που συνέβη μετά την εκμετάλλευση του CVE-2023-32315 για την παραβίαση του διακομιστή.
Οι εισβολείς χρησιμοποίησαν το ελάττωμα για να δημιουργήσουν έναν νέο χρήστη διαχειριστή στο Openfire, συνδέθηκαν και το χρησιμοποίησαν για να εγκαταστήσουν ένα κακόβουλο πρόσθετο JAR που μπορεί να εκτελεί αυθαίρετο κώδικα.
Ο Δρ. Web
.
Μερικά από τα κακόβουλα πρόσθετα JAVA που έχουν δει ο Dr. Web και οι πελάτες περιλαμβάνουν
helloworld-openfire-plugin-assembly.jar
,
προϊόν.βάζο
και
bookmarks-openfire-plugin-assembly.jar
.
Αφού δημιούργησε ένα Openfire honeypot για να συλλάβει το
κακόβουλο λογισμικό
, ο Dr. Web συνέλαβε επιπλέον trojans που χρησιμοποιούνται σε επιθέσεις στην άγρια φύση.
Το πρώτο από τα πρόσθετα ωφέλιμα φορτία είναι ένα trojan εξόρυξης κρυπτονομισμάτων που βασίζεται στο Go, γνωστό ως Kinsing.
Οι χειριστές του εκμεταλλεύονται το CVE-2023-32315 για να δημιουργήσουν έναν λογαριασμό διαχειριστή με το όνομα “OpenfireSupport” και στη συνέχεια εγκαθιστούν μια κακόβουλη προσθήκη που ονομάζεται “plugin.jar” που ανακτά το ωφέλιμο φορτίο του miner και το εγκαθιστά στον διακομιστή.
Σε μια άλλη περίπτωση, οι επιτιθέμενοι εγκατέστησαν μια κερκόπορτα με UPX με βάση το C, ακολουθώντας μια παρόμοια αλυσίδα μόλυνσης.
Ένα τρίτο σενάριο επίθεσης που παρατηρήθηκε από τους αναλυτές του Dr. Web είναι όπου χρησιμοποιήθηκε ένα κακόβουλο πρόσθετο Openfire για τη λήψη πληροφοριών σχετικά με τον παραβιασμένο διακομιστή, συγκεκριμένα συνδέσεις δικτύου, διευθύνσεις IP, δεδομένα χρήστη και την έκδοση πυρήνα του συστήματος.
Ο Dr. Web έχει παρατηρήσει συνολικά τέσσερα διαφορετικά σενάρια επίθεσης που αξιοποιούν το CVE-2023-32315, καθιστώντας την εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας απαιτητική.
Ένα άγνωστο ransomware
Το BleepingComputer εντόπισε πολλές αναφορές από πελάτες που λένε τις δικές τους
Οι διακομιστές Openfire κρυπτογραφήθηκαν με ransomware
με ένα να αναφέρει ότι τα αρχεία ήταν κρυπτογραφημένα με την επέκταση .locked1.
“Είμαι χειριστής που τρέχει έναν διακομιστή χρησιμοποιώντας ανοιχτό κώδικα ανοιχτού κώδικα στην Κορέα. Δεν είναι διαφορετικό, χρησιμοποιώ openfire 4.7.4-1.noarch.rpm, αλλά μια μέρα όλα τα αρχεία στο /opt/openfire (διαδρομή εγκατάστασης ανοιχτού πυρός ) αλλάζουν σε επέκταση .locked1,”
εξήγησε ένας διαχειριστής του OpenFire
.
Από το 2022, ένας παράγοντας απειλών κρυπτογραφεί εκτεθειμένους διακομιστές ιστού με ransomware που προσαρτά την επέκταση .locked1.
README2.
html
σημείωση λύτρων από επιθέσεις ransomware .locked1
Πηγή: BleepingComputer
Το BleepingComputer γνωρίζει τους διακομιστές Openfire που έχουν κρυπτογραφηθεί από αυτό το ransomware τον Ιούνιο.
Δεν είναι σαφές τι ransomware κρύβεται πίσω από αυτές τις επιθέσεις, αλλά οι απαιτήσεις για λύτρα είναι γενικά μικρές και κυμαίνονται από 0,09 έως 0,12 bitcoins (2.300 έως 3.500 $).
Ο παράγοντας απειλής δεν φαίνεται να στοχεύει αποκλειστικά διακομιστές Openfire, αλλά οποιονδήποτε ευάλωτο διακομιστή ιστού. Επομένως, η εφαρμογή όλων των ενημερώσεων ασφαλείας για τους διακομιστές σας όταν αυτές γίνουν διαθέσιμες είναι ζωτικής σημασίας.