Εάν ο οργανισμός σας εκτελεί έναν διακο
μι
στή μηνυμάτων Openfire, βεβαιωθείτε ότι έχετε εγκαταστήσει αμέσως τις πιο πρόσφατες ενημερώσεις κώδικα, καθώς έχουν παρατηρηθεί χάκερ που κάνουν κατάχρηση μιας ευπάθειας για να καταλάβουν μολυσμένα τελικά σημεία.
Ερευνητές κυβερνοασφάλειας από το Doctor Web ενημερώθηκαν πρόσφατα για την ύπαρξη ενός ελαττώματος από έναν πελάτη του οποίου οι
συσκευές
είχαν κρυπτογραφηθεί.
Μια μεταγενέστερη έρευνα αποκάλυψε την ύπαρξη του CVE-
2023
-32315, μιας ευπάθειας στη διέλευση καταλόγου που επιτρέπει στους φορείς απειλών να έχουν πρόσβαση στη διεπαφή διαχειριστή του Openfire. Από εκεί, μπορούν να δημιουργήσουν νέους λογαριασμούς διαχειριστή και να τους χρησιμοποιήσουν για να παραδώσουν διαφορετικές κακόβουλες προσθήκες Openfire στα παραβιασμένα τελικά σημεία.
Αιχμαλωτίζοντας trojans σε honeypot
Μέχρι στιγμής, οι
ερευνητές
λένε ότι περισσότεροι από 3.000 διακομιστές με λογισμικό Openfire έχουν μολυνθεί. Ορισμένα στοχεύτηκαν με κρυπτογραφητές, άλλα αφομοιώθηκαν σε ένα botnet και χρησιμοποιήθηκαν για άλλες μορφές κυβερνοεπιθέσεων, όπως η κατανεμημένη άρνηση υπηρεσίας (DDoS).
Αφού έστησαν ένα honeypot, οι ερευνητές του Doctor Web άρπαξαν τρία κακόβουλα
δείγματα
προσθηκών, καθώς και δύο trojans. Ένα από τα trojans ονομάζεται Kinsing, προφανώς ένα λογισμικό εξόρυξης κρυπτονομισμάτων. Σε μια περίπτωση, αντί να ρίξουν ένα trojan, οι χάκερ προσπάθησαν να λάβουν πληροφορίες σχετικά με τον παραβιασμένο διακομιστή. Σε
Συγκεκριμένα, ενδιαφέρθηκαν για πληροφορίες σχετικά με τις συνδέσεις δικτύου, τη διεύθυνση IP, τους χρήστες και την έκδοση πυρήνα του συστήματος.
Σε όλα αυτά τα σενάρια, οι εισβολείς εγκατέστησαν το κακόβουλο πρόσθετο JSP.BackDoor.8.
Όσο επικίνδυνο κι αν ακούγεται όλο αυτό, η ευπάθεια έχει αποκατασταθεί από τότε. Όσοι είναι επιφυλακτικοί για πιθανές επιθέσεις θα πρέπει να βεβαιωθούν ότι ο διακομιστής μηνυμάτων Openfire τους έχει μεταφερθεί στις εκδόσεις 4.6.8. Και 4.7.5. Προφανώς, οι ειδικοί του Doctor Web συνιστούν την αναβάθμιση στις πιο πρόσφατες εκδόσεις, αλλά εάν αυτό δεν είναι δυνατό, οι ομάδες IT θα πρέπει να ελαχιστοποιήσουν την επιφάνεια επίθεσης περιορίζοντας την πρόσβαση δικτύου στις θύρες 9090 και 9091, να τροποποιήσουν το αρχείο ρυθμίσεων Openfire, να ανακατευθύνουν τη διεύθυνση της κονσόλας διαχειριστή στο loopback διασύνδεση ή χρησιμοποιήστε την προσθήκη AuthFilterSanitizer.
