Hackers estão explorando ativamente uma vulnerabilidade de alta gravidade em servidores de mensagens Openfire para criptografar servidores com ransomware e implantar criptomineradores.
Openfire é um servidor de chat de código aberto baseado em Java, muito utilizado, baixado 9 milhões de vezes e amplamente usado para comunicações de chat seguras e multiplataforma.
A falha, rastreada como
CVE-2023-32315
, é uma falha de autenticação que afeta o console de administração do Openfire, permitindo que invasores não autenticados criem novas contas de administrador em servidores vulneráveis.
Usando essas contas, os invasores instalam plugins Java maliciosos (arquivos JAR) que executam comandos recebidos por meio de solicitações HTTP GET e POST.
Essa falha perigosa impacta todas as versões do Openfire desde a 3.10.0, datada de 2015, até a 4.6.7 e de 4.7.0 a 4.7.4.
Embora o Openfire tenha corrigido o problema com as versões 4.6.8, 4.7.5 e 4.8.0, lançadas em maio de 2023, VulnCheck relatou que, até meados de agosto de 2023, mais de 3.000 servidores Openfire ainda estavam executando uma versão vulnerável.
Dr. Web agora relata sinais de exploração ativa, já que os hackers aproveitaram a superfície de ataque para suas campanhas maliciosas.
O primeiro caso de exploração ativa visto pela Dr. Web data de junho de 2023, quando a empresa de segurança investigou um ataque de ransomware a um servidor que ocorreu após a exploração do
CVE-2023-32315
para violar o servidor.
Os invasores se aproveitaram da falha para criar um novo usuário administrador no Openfire, fizeram login e o usaram para instalar um plugin JAR malicioso que pode executar código arbitrário.
Alguns dos plugins JAVA maliciosos vistos pela Dr. Web e pelos clientes incluem helloworld-openfire-plugin-assembly.jar, product.jar e bookmarks-openfire-plugin-assembly.jar.
Depois de configurar um honeypot Openfire para capturar o malware, a Dr. Web capturou outros trojans que são usados em ataques reais.
A primeira das cargas úteis adicionais é um trojan de mineração cripto baseado em Go conhecido como Kinsing.
Seus operadores exploram o
CVE-2023-32315
para criar uma conta de administrador chamada "OpenfireSupport" e, em seguida, instalam um plugin malicioso chamado "plugin.jar" que busca a carga útil do minerador e a instala no servidor.
Em outro caso, os invasores instalaram um backdoor empacotado UPX baseado em C, seguindo uma cadeia de infecção semelhante.
Um terceiro cenário de ataque observado pelos analistas da Dr. Web é onde um plugin Openfire malicioso foi usado para obter informações sobre o servidor comprometido, especificamente conexões de rede, endereços IP, dados do usuário e a versão do kernel do sistema.
A Dr. Web observou um total de quatro cenários de ataque distintos que aproveitam o
CVE-2023-32315
, tornando a aplicação das atualizações de segurança disponíveis urgente.
O BleepingComputer encontrou vários relatos de clientes dizendo que seus servidores Openfire foram criptografados com ransomware, sendo que um deles afirmou que os arquivos foram criptografados com a extensão .locked1.
"Sou um operador que administra um servidor usando o código aberto open fire na Coreia. Não é diferente, estou usando openfire 4.7.4-1.noarch.rpm, mas um dia todos os arquivos em /opt/openfire (caminho de instalação do openfire) são alterados para a extensão .locked1", explicou um administrador do OpenFire.
Desde 2022, um ator de ameaça tem criptografado servidores web expostos com ransomware que acrescenta a extensão .locked1.
Não está claro qual ransomware está por trás desses ataques, mas as demandas de resgate são geralmente pequenas, variando de .09 a .12 bitcoins ($ 2.300 a $ 3.500).
O ator de ameaça não parece mirar apenas servidores Openfire, mas qualquer servidor web vulnerável. Portanto, aplicar todas as atualizações de segurança para seus servidores quando elas estiverem disponíveis é crucial.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...