Κακόβουλοι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια αδυναμία υψηλής σοβαρότητας στους Openfire messaging servers για να κρυπτογραφήσουν τους διακομιστές με ransomware και να εγκαταστήσουν cryptominers.
Το Openfire είναι ένας ευρέως χρησιμοποιούμενος διακομιστής συνομιλίας ανοιχτού κώδικα (XMPP) που βασίζεται σε Java, ο οποίος έχει ληφθεί 9 εκατομμύρια φορές και χρησιμοποιείται εκτενώς για ασφαλείς επικοινωνίες συνομιλίας multi-platform.
Το ελάττωμα, το οποίο εντοπίζεται ως CVE-2023-32315, είναι μια παράκαμψη ελέγχου ταυτότητας που επηρεάζει την κονσόλα διαχείρισης του Openfire, επιτρέποντας στους εισβολείς να δημιουργούν νέους λογαριασμούς διαχειριστή σε ευάλωτους servers.
Χρησιμοποιώντας αυτούς τους λογαριασμούς, οι εισβολείς εγκαθιστούν κακόβουλα πρόσθετα Java (αρχεία JAR) που εκτελούν εντολές που λαμβάνονται μέσω αιτημάτων GET και POST HTTP.
Αυτό το επικίνδυνο ελάττωμα επηρεάζει όλες τις εκδόσεις Openfire από την 3.10.0, που χρονολογούνται από το 2015, έως την 4.6.7 και από την 4.7.0 έως την 4.7.4.
Αν και το Openfire διόρθωσε το πρόβλημα με τις εκδόσεις 4.6.8, 4.7.5 και 4.8.0, που κυκλοφόρησαν τον Μάιο του 2023, το VulnCheck ανέφερε ότι μέχρι τα μέσα Αυγούστου 2023, περισσότεροι από 3,000 Openfire servers εξακολουθούσαν να εκτελούν μια ευάλωτη έκδοση.
Ο Dr. Web αναφέρει τώρα σημάδια ενεργητικής εκμετάλλευσης, καθώς οι χάκερ έχουν εκμεταλλευτεί το attack surface για τις κακόβουλες εκστρατείες τους.
Η πρώτη περίπτωση ενεργού exploitation που εντοπίστηκε από τον Dr. Web χρονολογείται τον Ιούνιο του 2023, όταν η εταιρεία ασφαλείας διερεύνησε μια επίθεση ransomware σε διακομιστή που συνέβη μετά την εκμετάλλευση του CVE-2023-32315 για την παραβίαση του διακομιστή.
Οι επιτιθέμενοι αξιοποίησαν την αδυναμία για να δημιουργήσουν έναν νέο admin user στο Openfire, συνδεθήκανε και το χρησιμοποίησαν για να εγκαταστήσουν ένα κακόβουλο πρόσθετο JAR που μπορεί να εκτελέσει αυθαίρετο κώδικα.
Ορισμένες από τις κακόβουλες προσθήκες JAVA που έχουν δει ο Dr. Web και οι πελάτες περιλαμβάνουν τα helloworld-openfire-plugin-assembly.jar, product.jar και bookmarks-openfire-plugin-assembly.jar.
Μετά τη δημιουργία ενός Openfire honeypot για την καταγραφή του κακόβουλου λογισμικού, ο Dr. Web ανέκτησε επιπλέον trojans που χρησιμοποιούνται σε επιθέσεις.
Το πρώτο από τα επιπλέον φορτία είναι ένας crypto-mining trojan βασισμένος σε Go, γνωστός ως Kinsing.
Οι χειριστές του εκμεταλλεύονται το CVE-2023-32315 για να δημιουργήσουν έναν διαχειριστή με το όνομα “OpenfireSupport” και στη συνέχεια εγκαθιστούν ένα κακόβουλο plugin με το όνομα “plugin.jar” που ανακτά το miner payload και το εγκαθιστά στον server.
Σε ένα άλλο περιστατικό, οι επιτιθέμενοι εγκατέστησαν ένα backdoor συμπιεσμένο με UPX, γραμμένο σε γλώσσα C, ακολουθώντας μια παρόμοια αλυσίδα μόλυνσης.
Μια τρίτη περίπτωση επίθεσης που παρατηρήθηκε από τους αναλυτές του Dr. Web είναι όπου ένα κακόβουλο Openfire plugin χρησιμοποιήθηκε για να αποκτηθούν πληροφορίες για τον παραβιασμένο server, ειδικότερα τις δικτυακές συνδέσεις, τις διευθύνσεις IP, τα δεδομένα των χρηστών και την έκδοση του πυρήνα του συστήματος.
Ο Δρ. Web εντόπισε συνολικά τέσσερα διακριτά σενάρια επίθεσης που εκμεταλλεύονται το CVE-2023-32315, καθιστώντας επιτακτική την εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας.
Ένα άγνωστο ransomware
Ο ιστότοπος BleepingComputer ανέφερε πολλές αναφορές από πελάτες που ανέφεραν ότι οι Openfire servers κρυπτογραφήθηκαν με ransomware, με έναν να αναφέρει ότι τα αρχεία κρυπτογραφήθηκαν με την επέκταση .locked1.
Από το 2022, ένας απειλητικός δράστης έχει κρυπτογραφήσει εκτεθειμένους web servers με ransomware που προσθέτει την επέκταση .locked1.
Το BleepingComputer γνωρίζει ότι τον Ιούνιο κρυπτογραφήθηκαν Openfire servers από αυτό το ransomware.
Δεν είναι σαφές τι ransomware κρύβεται πίσω από αυτές τις επιθέσεις, αλλά οι απαιτήσεις για λύτρα είναι γενικά μικρές και κυμαίνονται από 0,09 έως 0,12 bitcoins (2.300 έως 3.500 $).
Ο κακόβουλος παράγοντας δεν φαίνεται να επικεντρώνεται αποκλειστικά σε διακομιστές Openfire, αλλά σε οποιονδήποτε ευπαθή web server. Επομένως, η εφαρμογή όλων των ενημερώσεων ασφαλείας για τους διακομιστές σας όταν γίνονται διαθέσιμες είναι ζωτικής σημασίας.
Πηγή πληροφοριών: bleepingcomputer.com
