«Доктор Веб» об уязвимости в ПО Openfire
Компания «Доктор Веб» сообщила о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. На момент публикации более 3000 серверов по всему миру с установленным ПО Openfire были подвержены уязвимости, позволяющей хакерам получать доступ к файловой системе и использовать зараженные серверы в составе ботнета.
Как поясняют в «Доктор Веб», в июне 2023 г. в компанию обратился один из клиентов с сообщением об инциденте, в котором злоумышленники смогли зашифровать файлы на сервере. В процессе расследования выяснилось, что заражение было реализовано в ходе пост-эксплуатации уязвимости CVE-2023-32315 в ПО для обмена сообщениями Openfire. Этот эксплойт выполняет атаку типа «обход каталога» и позволяет получить доступ к административному интерфейсу ПО Openfire без авторизации, что используется злоумышленниками для создания нового пользователя с административными привилегиями. Затем взломщики входят в систему под новой учетной записью и устанавливают вредоносный плагин helloworld-openfire-plugin-assembly.jar (SHA1:41d2247842151825aa8001a35ee339a0fef2813f), обеспечивающий выполнение произвольного кода. Плагин позволяет выполнять команды интерпретатора командой строки на сервере с установленным ПО Openfire, а также запускать код, написанный на языке Java, который передается в POST-запросе к плагину. Именно таким образом и был запущен троянец-шифровальщик на сервере клиента.
Чтобы получить образец данного шифровальщика, специалисты «Доктор Веб» создали сервер-приманку с установленным ПО Openfire и в течение нескольких недель наблюдали за атаками на него. За это время удалось получить образцы трех разных вредоносных плагинов. Были также получены представители двух семейств троянцев, которые устанавливались на сервер компании после взлома Openfire.
Первым из них был майнер, написанный на языке Go и известный под именем kinsing (Linux.BtcMine.546). Атака с использованием этого троянца осуществляется в четыре этапа:
- эксплуатация уязвимости CVE-2023-32315 для создания административной учетной записи с именем OpenfireSupport;
- аутентификация под созданным пользователем;
- установка вредоносного плагина plugin.jar (SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838) на сервер;
- скачивание и запуск троянца с помощью установленного вредоносного плагина.
В рамках другого сценария атаки в систему устанавливался троянец Linux.BackDoor.Tsunami.1395, написанный на языке С и запакованный пакером UPX. Процесс заражения во многом аналогичен описанному выше, с тем отличием, что административный пользователь создается со случайными именем и паролем.
Третий сценарий представляет наибольший интерес, так как злоумышленники не устанавливали троянца в систему, а использовали вредоносный плагин для Openfire, через который получали информацию о скомпрометированном сервере, в частности, о сетевых подключениях, IP-адресе, пользователях и версии ядра системы.
Устанавливаемые во всех случаях вредоносные плагины представляют собой бэкдоры JSP.BackDoor.8, написанные на языке Java. Они позволяют выполнять ряд команд в виде GET- и POST-запросов, отправляемых злоумышленниками.
Рассматриваемая уязвимость сервера отправки сообщений Openfire была устранена в обновлениях этого ПО до версий 4.6.8 и 4.7.5. Специалисты «Доктор Веб» рекомендуют использовать обновленные версии. В отсутствие такой возможности следует предпринять усилия по минимизации площади атаки: ограничение сетевого доступа к портам 9090 и 9091, изменение файла настроек Openfire, перенаправление адреса консоли администратора на loopback-интерфейс или использование плагина AuthFilterSanitizer.