Hakeri aktivno iskorištavaju ranjivost visoke ozbiljnosti na Openfire serverima za razmjenu poruka kako bi šifrirali servere pomoću ransomware-a i implementirali kriptomajnere.
Openfire je široko korišćen Java-bazirani open-source chat (XMPP) server koji je preuzet 9 miliona puta i intenzivno se koristi za sigurnu, multi-platformsku komunikaciju u ćaskanju.
Greška, praćena kao CVE-2023-32315, je zaobilaženje autentifikacije koji utiče na Openfire-ovu administrativnu konzolu, omogućavajući neautorizovanim hakerima da kreiraju nove administratorske naloge na ranjivim serverima.
Koristeći te naloge, hakeri instaliraju maliciozne Java plugin-e (JAR fajlove) koji izvršavaju komande primljene putem GET i POST HTTP zahteva.
Ova opasna mana utiče na sve Openfire verzije od 3.10.0, koje datiraju do 2015. godine, do 4.6.7 i od 4.7.0 do 4.7.4.
Iako je Openfire riješio problem s verzijama 4.6.8, 4.7.5 i 4.8.0, objavljenim u maju 2023. godine, VulnCheck je izvijestio da je do sredine avgusta 2023. godine preko 3.000 Openfire servera još uvijek koristilo ranjivu verziju.
Dr. Web sada prijavljuje znakove aktivne eksploatacije, jer su hakeri iskoristili površinu napada za svoje zlonamjerne kampanje.
Prvi slučaj aktivne eksploatacije koji je primetio Dr. Web datira iz juna 2023. godine, kada je bezbjednosna firma istražila napad serverskog ransomware-a koji se dogodio nakon što je CVE-2023-32315 iskorišćen za proboj servera.
Hakeri su iskoristili ovaj nedostatak da kreiraju novog admin korisnika na Openfire-u, prijavili su se i iskoristili ga za instaliranje zlonamjernog JAR plugin-a koji može pokrenuti proizvoljni kod.
“Plugin omogućava izvršavanje shell komandi na serveru na kojem je instaliran Openfire softver, kao i da se kod, napisan u Javi, pokrene i zatim prenese na dodatak u POST zahtjevu. Upravo ovako je pokrenut trojanac za šifriranje na serveru našeg korisnika.” – Dr. Web
Neki od malicioznih JAVA dodataka koje su vidjeli Dr. Web i korisnici uključuju helloworld-openfire-plugin-assembly.jar, product.jar i bookmarks-openfire-plugin-assembly.jar.
Nakon što je postavio Openfire honeypot za hvatanje malicioznog softvera, Dr. Web je uhvatio dodatne trojance koji se koriste u napadima.
Prvi od dodatnih payloada je trojanac za kripto rudarenje zasnovan na Go-u poznat kao Kinsing.
Njegovi operateri iskorištavaju CVE-2023-32315 za kreiranje administratorskog naloga pod nazivom “OpenfireSupport”, a zatim instaliraju maliciozni dodatak pod nazivom “plugin.jar” koji preuzima majner payload i instalira ga na server.
U drugom slučaju, hakeri su umjesto toga instalirali backdoor baziran na UPX-u, slijedeći sličan lanac infekcije.
Treći scenario napada koji su primijetili analitičari Dr. Weba je gdje je zlonamjerni Openfire plugin korišten za dobivanje informacija o kompromitovanom serveru, posebno mrežnim vezama, IP adresama, korisničkim podacima i verziji kernela sistema.
Dr. Web je uočio ukupno četiri različita scenarija napada koji koriste CVE-2023-32315, čineći primjenu dostupnih bezbjednosnih ažuriranja zahtjevnom.
Nepoznati ransomware
BleepingComputer je pronašao više izvještaja klijenata koji kažu da su njihovi Openfire serveri šifrovani pomoću ransomwarea, a u jednom se navodi da su datoteke šifrovane ekstenzijom .locked1.
“Ja sam operater koji pokreće server koji koristi open fire open source u Koreji. Nije drugačije, koristim openfire 4.7.4-1.noarch.rpm, ali jednog dana svi fajlovi u /opt/openfire (openfire instalacijski put ) se mijenjaju u ekstenziju .locked1,” objasnio je OpenFire administrator.
Od 2022. haker šifrira izložene web servere pomoću ransomware-a koji dodaje ekstenziju .locked1.
BleepingComputer je svjestan Openfire servera koji su šifrovani ovim ransomwareom u junu.
Nejasno je koji ransomware stoji iza ovih napada, ali zahtjevi za otkupninom su generalno mali, u rasponu od .09 do .12 bitcoina (2.300 do 3.500 dolara).
Čini se da haker ne cilja samo Openfire servere, već bilo koji ranjivi web server. Stoga je ključna primjena svih sigurnosnih ažuriranja za vaše servere kada postanu dostupni.
Izvor: BleepingComuter