Χιλιάδες Openfire servers παραμένουν ευάλωτοι στο CVE-2023-32315, μια ενεργά εκμεταλλευόμενη ευπάθεια path traversal που επιτρέπει σε έναν μη εξουσιοδοτημένο χρήστη να δημιουργήσει νέους λογαριασμούς διαχειριστή.
Δείτε επίσης: CloudNordic: Δεχτήκαμε επίθεση ransomware
Δείτε επίσης: Το Akira ransomware στοχεύει τα Cisco VPN για να παραβιάσει οργανισμούς
Το Openfire είναι ένας ευρέως χρησιμοποιούμενος open-source chat (XMPP) server βασισμένος σε Java, με πάνω από 9 εκατομμύρια λήψεις.
Νέο banking malware κλέβει credentials από 77 apps
Έφηβος χακάρει εταιρείες τηλεπικοινωνιών
DroidBot: Νέο Android banking malware κλέβει credentials
Στις 23 Μαΐου 2023, αποκαλύφθηκε ότι το λογισμικό επηρεάστηκε από ένα πρόβλημα authentication bypass που επηρέαζε την έκδοση 3.10.0, που κυκλοφόρησε τον Απρίλιο του 2015, μέχρι εκείνη τη στιγμή.
Οι προγραμματιστές του Openfire κυκλοφόρησαν ενημερώσεις ασφαλείας στις εκδόσεις 4.6.8, 4.7.5 και 4.8.0 για να αντιμετωπίσουν το πρόβλημα. Παρόλα αυτά, τον Ιούνιο αναφέρθηκε ότι η ευπάθεια χρησιμοποιείτο ενεργά [1, 2] για τη δημιουργία διαχειριστικών χρηστών και τη μεταφόρτωση κακόβουλων plugin σε unpatched servers.
Όπως επισημαίνεται σε έκθεση του ερευνητή ευπαθειών του VulnCheck, του Jacob Baines, η κοινότητα του OpenFire δεν βιάζεται να εφαρμόσει τις ενημερώσεις ασφαλείας, με πάνω από 3.000 διακομιστές να παραμένουν ευάλωτοι.
Για να κάνουμε τα πράγματα ακόμα χειρότερα, o Baines λέει ότι υπάρχει ένας τρόπος να εκμεταλλευτεί το σφάλμα και να ανεβάσει plugins χωρίς να δημιουργεί έναν διαχειριστικό λογαριασμό, καθιστώντας το πολύ πιο ελκυστικό και ήσυχο για τους κυβερνο-εγκληματίες.
Πάρα πολλοί διακομιστές που δεν έχουν ενημερωθεί
Τα αποτελέσματα του VulnCheck αναφέρουν ότι οι σάρωσεις του Shodan αποκαλύπτουν 6.324 Openfire servers που είναι προσβάσιμοι από το διαδίκτυο, από τους οποίους το 50% (3.162 διακομιστές) εξακολουθούν να είναι ευάλωτοι στην CVE-2023-32315 λόγω της χρήσης μιας outdated έκδοσης.
Μόνο το 20% των χρηστών έχουν ενημερώσει το σύστημά τους, το 25% χρησιμοποιεί μια εκδοχή παλαιότερη της 3.10.0, η οποία είναι η έκδοση που εισήχθη η ευπάθεια στο λογισμικό, και άλλο 5% χρησιμοποιεί παρακλάδια του open-source project που μπορεί ή να επηρεαστούν ή όχι.
Ο VulnCheck σχολιάζει ότι, αν και ο αριθμός μπορεί να μην είναι εντυπωσιακός, είναι σημαντικός λαμβάνοντας υπόψη τον ρόλο που διαδραματίζουν αυτοί οι servers στην υποδομή επικοινωνίας, στη διαχείριση ευαίσθητων πληροφοριών, κλπ.
Δείτε επίσης: Lapsus$: Έφηβοι hackers καταδικάζονται για hacking μεγάλων εταιρειών
Ένα καλύτερο PoC
Οι τρέχουσες δημόσιες εκμεταλλεύσεις για το CVE-2023-32315 βασίζονται στη δημιουργία ενός διαχειριστικού χρήστη για να επιτρέπουν στους χάκερ να ανεβάσουν κακόβουλα πρόσθετα Java JAR που ανοίγουν reverse shells ή εκτελούν εντολές στους παραβιασμένους servers.
Παραδείγματα exploitation στον πραγματικό κόσμο περιλαμβάνουν τους δράστες που κρύβονται πίσω από το crypto-miner botnet Kinsing, οι οποίοι εκμεταλλεύονται την ευπάθεια για να εγκαταστήσουν ένα προσαρμοσμένο plugin Openfire που προκαλεί ένα reverse shell στον παραβιασμένο server.
Ωστόσο, οι υπάρχουσες εκμεταλλεύσεις για τη δημιουργία διαχειριστών χρηστών είναι φανερές και εύκολα ανιχνεύσιμες από τα αρχεία καταγραφής ελέγχου. Δυστυχώς, το αναφορικό έγγραφο του VulnCheck αποκαλύπτει έναν πιο κρυφό τρόπο εκμετάλλευσης της ευπάθειας χωρίς τη δημιουργία τυχαίων διαχειριστικών λογαριασμών.
Στο παράδειγμα του PoC, οι αναλυτές παρουσιάζουν έναν τρόπο για την εξαγωγή του JSESSIONID και του CSRF token με το να αποκτούν πρόσβαση απευθείας στο ‘plugin-admin.jsp’ και στη συνέχεια ανεβάζουν το JAR plugin μέσω ενός POST request.
Το plugin έχει γίνει αποδεκτό και έχει εγκατασταθεί στον ευάλωτο διακομιστή, ενώ το webshell του μπορεί να προσπελαστεί χωρίς την απαίτηση ενός admin account.
Επειδή αυτή η επίθεση δεν αφήνει ίχνη στα αρχεία καταγραφής ασφαλείας, είναι πολύ πιο αόρατη από ό,τι οι τρέχουσες εκμεταλλεύσεις και καταργεί τις ευκαιρίες ανίχνευσης για τους υπερασπιστές.
Καθώς το CVE-2023-32315 έχει ήδη υποστεί ενεργό exploitation, συμπεριλαμβανομένου και από ένα κακόβουλο λογισμικό botnet, το PoC του VulnCheck θα μπορούσε να ενισχύσει ένα δεύτερο κύμα επιθέσεων που θα είναι πιο απειλητικό.
Για τον λόγο αυτό, προτείνεται ανεπιφύλακτα στους διαχειριστές των Openfire servers που δεν έχουν αναβαθμίσει σε μια ενημερωμένη έκδοση, να το πράξουν το συντομότερο δυνατόν.
Πηγή πληροφοριών: bleepingcomputer.com