聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
黑客正在利用 Openfire 通讯服务器中的一个高危漏洞,以勒索软件加密服务器并部署密币挖矿机。
Openfire 是一款广泛使用的基于 Java 的开源聊天 (XMPP) 服务器,下载次数已达900多万次,广泛应用于多平台的安全聊天通信中。该漏洞的编号是CVE-2023-32315,是影响 Openfire 管理面板的认证绕过漏洞,可导致未认证攻击者在易受攻击服务器上创建新的管理账户。
攻击者使用这些账号安装恶意 Java 插件(JAR 文件),执行通过GET和POST HTTP 请求接收的命令。该漏洞影响自2015年发布的 3.10.0 至4.6.7以及4.7.0到4.7.4的所有版本。
尽管 Openfire 已在2023年五月发布的版本4.6.8、4.7.5和4.8.0中修复了该漏洞,但VulCheck 公司报道称,截止到2023年8月中旬,超过3000台 Openfire 服务器仍然在运行易受攻击的版本。
Dr. Web也发现了该漏洞遭活跃利用的迹象。Dr. Web 在调查一起勒索攻击活动时发现了首例活跃利用。攻击者利用该漏洞在 Openfire 上创建新的管理员账户、登录并安装可运行任意代码的恶意 JAR 插件。Dr. Web 和客户发现其中一些恶意 JAVA 插件,包括 helloworld-openfire-plugin-assembly.jar、 product.jar 以及bookmarks-openfire-plugin-assembly.jar。
Dr.Web 设置蜜罐捕获该恶意软件时还捕获到在野利用的其它木马。第一个 payload 是基于 Go的密币挖矿木马 Kinsing。其操纵人员利用CVE-2023-32315创建名为 “OpenfireSupport” 的管理员账户,之后安装了名为 “plugin.jar”的恶意插件,用于捕获挖矿机payload 并将其安装在服务器上。在另外一个案例中,攻击者安装了基于C的 UPX 封装后门,它也遵循相似的感染链。第三个攻击场景是,恶意 Openfire 插件用于获取受陷服务器的信息,尤其是特定的网络连接、IP地址、用户数据和系统的内核版本。
Dr. Web 已观测到利用CVE-2023-32315的四个不同的攻击场景,因此应立即安装补丁。
未知的勒索软件
多名客户报道称其 Openfire 服务器遭勒索软件加密,其中一名客户称这些文件被通过 .locked1 扩展加密。
OpenFire 管理员支出,“我是一名使用Openfire开源软件的韩国运营商。虽然我用的是 opensire 4.7.4-1.noarch.rpm,但突然有一天 /opt/openfire(openfire 安装路径)中的所有文件都变成了 .locked1 扩展。”
自2022年期,威胁行动者已通过 .locked1 扩展的勒索软件加密被暴露的 web 服务器。BleepingComputer 报道称,在6月份就发现了该勒索软件加密 openfire 服务器的情况。
目前尚不清楚,该勒索软件是否是这些攻击的幕后黑手,不过勒索金通常都较少,从0.09到0.12个比特币不等(2300到2500美元)。该威胁行动者似乎不仅针对 Openfire服务器,而是针对任何易受攻击的 web 服务器。因此尽快应用所有安全更新至关重要。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
数千台未修复 Openfire XMPP 服务器仍易受高危漏洞影响
开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器
原文链接
https://www.bleepingcomputer.com/news/security/hackers-actively-exploiting-openfire-flaw-to-encrypt-servers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
