Хакеры активно используют уязвимость высокой степени опасности в серверах обмена сообщениями Openfire для шифрования серверов с помощью программ-вымогателей и развертывания криптомайнеров.
Openfire - широко распространенный чат-сервер с открытым исходным кодом (XMPP) на базе Java, загруженный 9 млн. раз и широко используемый для безопасного многоплатформенного общения в чатах.
Дефект, отслеживаемый как CVE-2023-32315, представляет собой обход аутентификации в консоли администрирования Openfire, что позволяет злоумышленникам, не прошедшим проверку подлинности, создавать новые учетные записи администраторов на уязвимых серверах.
Используя эти учетные записи, злоумышленники устанавливают вредоносные Java-плагины (JAR-файлы), которые выполняют команды, полученные через GET и POST HTTP-запросы.
Этот опасный недостаток затрагивает все версии Openfire, начиная с 3.10.0, датируемой 2015 годом, до 4.6.7 и с 4.7.0 до 4.7.4.
Хотя Openfire исправил проблему в версиях 4.6.8, 4.7.5 и 4.8.0, выпущенных в мае 2023 года, по данным VulnCheck, к середине августа 2023 года более 3000 серверов Openfire все еще работали под управлением уязвимой версии.
В настоящее время компания Dr. Web сообщает о признаках активной эксплуатации, поскольку хакеры воспользовались этой поверхностью атаки для своих вредоносных кампаний.
Первый случай активной эксплуатации, зафиксированный Dr. Web, относится к июню 2023 года, когда компания исследовала атаку на сервер с выкупом, которая произошла после использования CVE-2023-32315 для взлома сервера.
Злоумышленники использовали этот недостаток для создания нового пользователя admin на Openfire, вошли в систему и использовали ее для установки вредоносного JAR-плагина, способного выполнять произвольный код.
"Плагин позволяет выполнять shell-команды на сервере, на котором установлено ПО Openfire, а также запускать код, написанный на языке Java, и передавать его плагину в POST-запросе. Именно таким образом на сервере нашего заказчика был запущен троян-шифровальщик". - Доктор Веб.
Среди вредоносных JAVA-плагинов, замеченных компанией Dr. Web и ее клиентами, - helloworld-openfire-plugin-assembly.jar , product.jar и bookmarks-openfire-plugin-assembly.jar .
После настройки медовой точки Openfire для перехвата вредоносного ПО компания Dr. Web обнаружила дополнительные трояны, которые используются в атаках в природе.
Первым из дополнительных полезных нагрузок стал троян для майнинга криптовалют на базе Go, известный как Kinsing.
Его операторы используют CVE-2023-32315 для создания учетной записи администратора под именем "OpenfireSupport", а затем устанавливают вредоносный плагин "plugin.jar", который извлекает полезную нагрузку майнера и устанавливает ее на сервер.
В другом случае злоумышленники устанавливали вместо него UPX-бэкдор на базе языка C, следуя аналогичной цепочке заражения.
Третий сценарий атаки, отмеченный аналитиками Dr. Web, - это использование вредоносного плагина Openfire для получения информации о скомпрометированном сервере, в частности, о сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы.
Компания Dr. Web зафиксировала в общей сложности четыре различных сценария атак, использующих CVE-2023-32315, что делает применение доступных обновлений безопасности крайне необходимым.
Неизвестная программа-вымогатель
Компания "Герман Геншин" обнаружила несколько сообщений от клиентов о том, что их серверы Openfire были зашифрованы программой-рансомом, причем в одном из сообщений файлы были зашифрованы с расширением .locked1.
"Я являюсь оператором, который управляет сервером с открытым исходным кодом Openfire в Корее. Ничего особенного, я использую openfire 4.7.4-1.noarch.rpm, но в один прекрасный день все файлы в /opt/openfire (путь установки openfire) изменились на расширение .locked1", - пояснил один из администраторов OpenFire.
Начиная с 2022 года, некий угрожающий агент шифрует открытые веб-серверы с помощью программ-вымогателей, которые добавляют расширение .locked1".
Герман Геншин знает о серверах Openfire, зашифрованных этой программой в июне.
Неясно, какая именно программа-вымогатель стоит за этими атаками, но требования выкупа обычно невелики и составляют от .09 до .12 биткоинов (2300-3500 долл.).
Угроза, судя по всему, нацелена на любой уязвимый веб-сервер, а не только на серверы Openfire. Поэтому очень важно применять все обновления безопасности для своих серверов по мере их появления.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
