Hakerzy aktywnie wykorzystują lukę w Openfire do szyfrowania serwerów

Hakerzy aktywnie wykorzystują poważną lukę o w serwerach komunikatorów Openfire, aby szyfrować serwery ransomware’em.

Openfire to powszechnie używany, oparty na Java, serwer open-source do komunikacji czatowej (XMPP), pobrany 9 milionów razy i szeroko stosowany do bezpiecznej komunikacji czatowej na wielu platformach.

Luka oznaczona jako CVE-2023-32315 to bypass uwierzytelniania, który wpływa na panel administracyjny Openfire, umożliwiając nieuwierzytelnionym atakującym tworzenie nowych kont administratora na podatnych serwerach.

Wykorzystując te konta, hakerzy instalują złośliwe wtyczki Java (pliki JAR), które wykonują polecenia otrzymane poprzez zapytania HTTP GET i POST.

Ta niebezpieczna luka dotyka wszystkich wersji Openfire od 3.10.0 z 2015 roku aż do 4.6.7 oraz od 4.7.0 do 4.7.4.

Mimo że Openfire naprawił problem w wersjach 4.6.8, 4.7.5 i 4.8.0, wydanych w maju 2023 roku, VulnCheck poinformował, że do połowy sierpnia 2023 roku ponad 3 000 serwerów Openfire nadal działało na podatnej wersji.

Dr. Web informuje o aktywnym wykorzystywaniu, gdyż hakerzy skorzystali z powierzchni ataku do swoich złośliwych kampanii.

Pierwszy przypadek aktywnego wykorzystania zauważony przez Dr. Web datuje się na czerwiec 2023 roku, kiedy firma badawcza badała atak ransomware na serwer, który miał miejsce po wykorzystaniu CVE-2023-32315 do naruszenia serwera.

Atakujący wykorzystali lukę, aby utworzyć nowego użytkownika admina w Openfire, zalogować się i użyć go do zainstalowania złośliwej wtyczki JAR, która może uruchamiać dowolny kod.

Niektóre ze złośliwych wtyczek JAVA obserwowanych przez Dr. Web i klientów to helloworld-openfire-plugin-assembly.jar, product.jar oraz bookmarks-openfire-plugin-assembly.jar.

Po skonfigurowaniu pułapki Openfire w celu przechwycenia złośliwego oprogramowania, Dr. Web przechwycił dodatkowe trojany wykorzystywane w atakach w środowisku rzeczywistym.

BleepingComputer odnotował liczne zgłoszenia klientów, którzy informowali, że ich serwery Openfire zostały zaszyfrowane ransomware’em, z jednym z nich stwierdzającym, że pliki zostały zaszyfrowane z rozszerzeniem .locked1.

Od 2022 roku nieznany sprawca szyfruje wystawione serwery internetowe ransomware’em, dodając rozszerzenie .locked1.

BleepingComputer zauważył przypadki zaszyfrowanych serwerów Openfire przez ten ransomware w czerwcu.

Niejasne jest, jaki ransomware stoi za tymi atakami, ale żądania okupu są zazwyczaj niewielkie, oscylujące między 0,09 a 0,12 bitcoina (od 2300 do 3500 dolarów).

Sprawca nie wydaje się skupiać wyłącznie na serwerach Openfire, ale na każdym podatnym serwerze internetowym.

Zródło: bleepingcomputer.com