Новини України та Світу

Хакери активно використовують уразливість в Openfire для шифрування серверів

Share
Час читання: 3 хв.

Хакери активно використовують уразливість високого ступеня небезпеки в серверах обміну повідомленнями Openfire для шифрування серверів за допомогою програм-вимагачів і розгортання криптомайнерів.

Openfire – широко розповсюджений чат-сервер із відкритим вихідним кодом (XMPP) на базі Java, завантажений 9 млн разів і широко використовуваний для безпечного багатоплатформенного спілкування в чатах.

Дефект, що відстежується як CVE-2023-32315, являє собою обхід аутентифікації в консолі адміністрування Openfire, що дає змогу зловмисникам, які не пройшли перевірку автентичності, створювати нові облікові записи адміністраторів на вразливих серверах.

Використовуючи ці облікові записи, зловмисники встановлюють шкідливі Java-плагіни (JAR-файли), які виконують команди, отримані через GET і POST HTTP-запити.

Цей небезпечний недолік зачіпає всі версії Openfire, починаючи з 3.10.0, датованої 2015 роком, до 4.6.7 і з 4.7.0 до 4.7.4.

Хоча Openfire виправив проблему у версіях 4.6.8, 4.7.5 і 4.8.0, випущених у травні 2023 року, за даними VulnCheck, до середини серпня 2023 року більше ніж 3000 серверів Openfire все ще працювали під керуванням вразливої версії.

Наразі компанія Dr. Web повідомляє про ознаки активної експлуатації, оскільки хакери скористалися цією поверхнею атаки для своїх шкідливих кампаній.

Перший випадок активної експлуатації, зафіксований Dr. Web, відноситься до червня 2023 року, коли компанія досліджувала атаку на сервер із викупом, що сталася після використання CVE-2023-32315 для злому сервера.

Зловмисники використовували цей недолік для створення нового користувача admin на Openfire, увійшли в систему і використовували її для встановлення шкідливого JAR-плагіна, здатного виконувати довільний код.

“Плагін дає змогу виконувати shell-команди на сервері, на якому встановлено ПЗ Openfire, а також запускати код, написаний мовою Java, і передавати його плагіну в POST-запиті. Саме таким чином на сервері нашого замовника було запущено троян-шифрувальник”. – Доктор Веб.

Серед шкідливих JAVA-плагінів, помічених компанією Dr. Web та її клієнтами, – helloworld-openfire-plugin-assembly.jar , product.jar і bookmarks-openfire-plugin-assembly.jar .

Після налаштування медової точки Openfire для перехоплення шкідливого ПЗ компанія Dr. Web виявила додаткові трояни, які використовуються в атаках у природі.

Першим із додаткових корисних навантажень став троян для майнінгу криптовалют на базі Go, відомий як Kinsing.

Його оператори використовують CVE-2023-32315 для створення облікового запису адміністратора під ім’ям “OpenfireSupport”, а потім встановлюють шкідливий плагін “plugin.jar”, який витягує корисне навантаження майнера і встановлює його на сервер.

В іншому випадку зловмисники встановлювали замість нього UPX-бекдор на базі мови C, слідуючи аналогічному ланцюжку зараження.

Третій сценарій атаки, зазначений аналітиками Dr. Web, – це використання шкідливого плагіна Openfire для отримання інформації про скомпрометований сервер, зокрема, про мережеві підключення, IP-адреси, призначені для користувача дані та версію ядра системи.

Компанія Dr. Web зафіксувала загалом чотири різні сценарії атак, які використовують CVE-2023-32315, що робить застосування доступних оновлень безпеки вкрай необхідним.

Невідома програма-вимагач

Експерти виявили кілька повідомлень від клієнтів про те, що їхні сервери Openfire були зашифровані програмою-рансомом, до того ж в одному з повідомлень файли були зашифровані з розширенням .locked1.

“Я є оператором, який керує сервером із відкритим вихідним кодом Openfire у Кореї. Нічого особливого, я використовую openfire 4.7.4-1.noarch.rpm, але одного чудового дня всі файли в /opt/openfire (шлях встановлення openfire) змінилися на розширення .locked1″, – пояснив один з адміністраторів OpenFire.

Починаючи з 2022 року, якийсь загрозливий агент шифрує відкриті веб-сервери за допомогою програм-вимагачів, які додають розширення .locked1”.

Ми знаємо про сервери Openfire, зашифровані цією програмою в червні.

Незрозуміло, яка саме програма-здирник стоїть за цими атаками, але вимоги викупу зазвичай невеликі і становлять від .09 до .12 біткоїнів (2300-3500 дол.).

Загроза, судячи з усього, націлена на будь-який вразливий веб-сервер, а не тільки на сервери Openfire. Тому дуже важливо застосовувати всі оновлення безпеки для своїх серверів у міру їх появи.

Митник Михайло

Більшу частину свого дитинства Михайло провів, бавлячись із гаджетами та намагаючись з'ясувати, як вони працюють. Його захоплення технологіями призвело до того, що іграшкові роботи, радіокеровані машинки та навіть ігрові приставки часто розбирали на частини, які не підлягали ремонту. Якщо ви поставите йому провокаційне запитання на кшталт "Android чи iPhone?", ви отримаєте ретельний аналіз всіх "за" і "проти", а також есе на тисячу слів про те, як технології впливають на людство.

Опублікував
Митник Михайло
Tags: Openfire
  • Останні записи

    Nvidia представить п’ять моделей відеокарт RTX 50 на початку 2025 року

    Nvidia планує випустити відразу п'ять моделей відеокарт серії GeForce RTX 50 у першому кварталі 2025…

    23.11.2024

    Vivo X Fold 4 отримає інноваційні сканери відбитків пальців

    Інсайдер Digital Chat Station поділився враженнями про неанонсований складаний смартфон Vivo X Fold 4, відзначивши…

    23.11.2024

    Samsung випустить новий складний смартфон з трьома екранами

    Південнокорейський інсайдер Yeux1122 повідомляє про розробку нового смартфона Samsung Galaxy Fold7 Variant (Triple), який стане…

    23.11.2024

    З’явилася дешево альтернатива Apple Pencil

    Анонсовано SonarPen 2, оновлену версію бюджетної альтернативи Apple Pencil, з новими функціями і поліпшеним дизайном.…

    23.11.2024

    Google поліпшила функцію Android Switch для швидкого налаштування нових смартфонів

    Google наближається до поліпшених можливостей швидкого перенесення файлів та інших даних між Android-смартфонами. Для цих…

    23.11.2024

    Новий iPhone 17 і тонкий iPhone 17 Air не отримають п’ятикратний телеоб’єктив

    Базові моделі iPhone 17 і тонкий iPhone 17 Air, очікувані 2025 року, позбудуться телеоб'єктива з…

    23.11.2024