Бесплатно Экспресс-аудит сайта:

28.09.2023

Серверы Openfire стали заложником криптомайнеров и программ-вымогателей

Хакеры активно эксплуатируют критическую уязвимость в серверах обмена сообщениями Openfire для шифрования серверов вымогательским программным обеспечением, а также для развёртывания криптомайнеров.

Openfire — это широко используемый базированный на Java открытый чат-сервер ( XMPP ), загруженный более 9 миллионов раз. Его используют для безопасного мультиплатформенного общения.

Уязвимость, получившая идентификатор CVE-2023-32315 , связана с обходом аутентификации в административной консоли Openfire. Это позволяет неавторизованным злоумышленникам создавать новые административные аккаунты на уязвимых серверах.

С помощью этих аккаунтов атакующие устанавливают вредоносные Java-плагины, выполняющие команды, полученные через HTTP -запросы.

Уязвимость затрагивает все версии Openfire с 3.10.0 (2015 год) до 4.6.7, а также с 4.7.0 до 4.7.4. Хотя проблема была решена в версиях 4.6.8, 4.7.5 и 4.8.0, выпущенных в мае 2023 года , к середине августа более 3000 серверов Openfire все ещё использовали уязвимую версию.

О признаках активной эксплуатации уязвимости сообщила российская компания Dr.Web . Первый случай был зафиксирован в июне 2023 года, когда компания исследовала вымогательскую атаку на сервер, взломанный благодаря эксплуатации CVE-2023-32315.

Злоумышленники воспользовались этой брешью, чтобы создать нового пользователя-администратора в Openfire, войти в систему и использовать его для установки вредоносного JAR -плагина, который может запускать произвольный код.

«Плагин позволяет выполнять команды интерпретатора командой строки на сервере с установленным ПО Openfire, а также запускать код, написанный на языке Java, который передаётся в POST-запросе к плагину», — сообщили исследователи.

Среди всех замеченных вредоносных java-плагинов были отмечены следующие: «helloworld-openfire-plugin-assembly.jar», «product.jar» и «bookmarks-openfire-plugin-assembly.jar».

Кроме вымогательского софта, Dr. Web выявила также дополнительные трояны, используемые в этих атаках, включая криптомайнер на базе Go под названием Kinsing .

Помимо Dr.Web об атаках на серверы Openfire сообщают и некоторые зарубежные СМИ. Так, серверы одной из иностранных компаний были зашифрованы с расширением «.locked1», а за восстановление доступа злоумышленники затребовали относительно небольшой по вымогательским меркам выкуп — от 0,09 до 0,12 биткоинов (2300 – 3500 долларов).

Эксперты настоятельно рекомендуют клиентам Openfire обновить программное обеспечение серверов до самых актуальных версий, чтобы обеспечить максимальную безопасность и защиту данных.