Хакери активно використовують уразливість в Openfire для шифрування серверів

Хакери активно використовують уразливість високого ступеня небезпеки в серверах обміну повідомленнями Openfire для шифрування серверів за допомогою програм-вимагачів і розгортання криптомайнерів.

Openfire – широко розповсюджений чат-сервер із відкритим вихідним кодом (XMPP) на базі Java, завантажений 9 млн разів і широко використовуваний для безпечного багатоплатформенного спілкування в чатах.

Дефект, що відстежується як CVE-2023-32315, являє собою обхід аутентифікації в консолі адміністрування Openfire, що дає змогу зловмисникам, які не пройшли перевірку автентичності, створювати нові облікові записи адміністраторів на вразливих серверах.

Використовуючи ці облікові записи, зловмисники встановлюють шкідливі Java-плагіни (JAR-файли), які виконують команди, отримані через GET і POST HTTP-запити.

Цей небезпечний недолік зачіпає всі версії Openfire, починаючи з 3.10.0, датованої 2015 роком, до 4.6.7 і з 4.7.0 до 4.7.4.

Хоча Openfire виправив проблему у версіях 4.6.8, 4.7.5 і 4.8.0, випущених у травні 2023 року, за даними VulnCheck, до середини серпня 2023 року більше ніж 3000 серверів Openfire все ще працювали під керуванням вразливої версії.

Наразі компанія Dr. Web повідомляє про ознаки активної експлуатації, оскільки хакери скористалися цією поверхнею атаки для своїх шкідливих кампаній.

Перший випадок активної експлуатації, зафіксований Dr. Web, відноситься до червня 2023 року, коли компанія досліджувала атаку на сервер із викупом, що сталася після використання CVE-2023-32315 для злому сервера.

Зловмисники використовували цей недолік для створення нового користувача admin на Openfire, увійшли в систему і використовували її для встановлення шкідливого JAR-плагіна, здатного виконувати довільний код.

“Плагін дає змогу виконувати shell-команди на сервері, на якому встановлено ПЗ Openfire, а також запускати код, написаний мовою Java, і передавати його плагіну в POST-запиті. Саме таким чином на сервері нашого замовника було запущено троян-шифрувальник”. – Доктор Веб.

Серед шкідливих JAVA-плагінів, помічених компанією Dr. Web та її клієнтами, – helloworld-openfire-plugin-assembly.jar , product.jar і bookmarks-openfire-plugin-assembly.jar .

Після налаштування медової точки Openfire для перехоплення шкідливого ПЗ компанія Dr. Web виявила додаткові трояни, які використовуються в атаках у природі.

Першим із додаткових корисних навантажень став троян для майнінгу криптовалют на базі Go, відомий як Kinsing.

Його оператори використовують CVE-2023-32315 для створення облікового запису адміністратора під ім’ям “OpenfireSupport”, а потім встановлюють шкідливий плагін “plugin.jar”, який витягує корисне навантаження майнера і встановлює його на сервер.

В іншому випадку зловмисники встановлювали замість нього UPX-бекдор на базі мови C, слідуючи аналогічному ланцюжку зараження.

Третій сценарій атаки, зазначений аналітиками Dr. Web, – це використання шкідливого плагіна Openfire для отримання інформації про скомпрометований сервер, зокрема, про мережеві підключення, IP-адреси, призначені для користувача дані та версію ядра системи.

Компанія Dr. Web зафіксувала загалом чотири різні сценарії атак, які використовують CVE-2023-32315, що робить застосування доступних оновлень безпеки вкрай необхідним.

Невідома програма-вимагач

Експерти виявили кілька повідомлень від клієнтів про те, що їхні сервери Openfire були зашифровані програмою-рансомом, до того ж в одному з повідомлень файли були зашифровані з розширенням .locked1.

“Я є оператором, який керує сервером із відкритим вихідним кодом Openfire у Кореї. Нічого особливого, я використовую openfire 4.7.4-1.noarch.rpm, але одного чудового дня всі файли в /opt/openfire (шлях встановлення openfire) змінилися на розширення .locked1″, – пояснив один з адміністраторів OpenFire.

Починаючи з 2022 року, якийсь загрозливий агент шифрує відкриті веб-сервери за допомогою програм-вимагачів, які додають розширення .locked1”.

Ми знаємо про сервери Openfire, зашифровані цією програмою в червні.

Незрозуміло, яка саме програма-здирник стоїть за цими атаками, але вимоги викупу зазвичай невеликі і становлять від .09 до .12 біткоїнів (2300-3500 дол.).

Загроза, судячи з усього, націлена на будь-який вразливий веб-сервер, а не тільки на сервери Openfire. Тому дуже важливо застосовувати всі оновлення безпеки для своїх серверів у міру їх появи.