Traduzido diretamente de BleepingComputer escrito por Bill Toulas
Os hackers estão explorando ativamente uma vulnerabilidade de alta gravidade nos servidores de mensagens Openfire para criptografar servidores com ransomware e implantar criptomineradores. Openfire é um servidor de bate-papo de código aberto (XMPP) baseado em Java amplamente utilizado baixado 9 milhões de vezes e usado extensivamente para comunicações de bate-papo seguras e multiplataforma. A falha, rastreada como CVE-2023-32315, é um desvio de autenticação que afeta o console de administração do Openfire, permitindo que invasores não autenticados criem novas contas de administrador em servidores vulneráveis. Principais HistóriasLEIA MAISRepositórios do GitHub bombardeados por roubo de informaçõescommits masked as DependabotUsando essas contas, os invasores instalam plugins Java maliciosos (arquivos JAR) que executam comandos recebidos por meio de solicitações HTTP GET e POST. Essa falha perigosa afeta todas as versões do Openfire da 3.10.0, datada de 2015, até a 4.6.7 e da 4.7.0 à 4.7.4. Embora o Openfire tenha corrigido o problema com as versões 4.6.8, 4.7.5 e 4.8.0, lançadas em maio de 2023, o VulnCheck relatou que, em meados de agosto de 2023, mais de 3.000 servidores Openfire ainda estavam executando uma versão vulnerável. O Dr. Web agora relata sinais de exploração ativa, já que os hackers se aproveitaram da superfÃcie de ataque para suas campanhas maliciosas. O primeiro caso de exploração ativa visto pelo Dr. Web data de junho de 2023, quando a empresa de segurança investigou um ataque de ransomware de servidor que ocorreu depois que o CVE-2023-32315 foi explorado para violar o servidor. Os invasores aproveitaram a falha para criar um novo usuário administrador no Openfire, fizeram login e o usaram para instalar um plugin JAR malicioso que pode executar código arbitrário. "O plugin permite que comandos shell sejam executados em um servidor que tenha o software Openfire instalado nele, bem como código, escrito em Java, para ser iniciado e depois transmitido para o plugin em uma solicitação POST. Foi exatamente assim que o trojan de criptografia foi lançado no servidor do nosso cliente." - Dr. Web. Alguns dos plugins JAVA maliciosos vistos pelo Dr. Web e clientes incluem helloworld-openfire-plugin-assembly.jar, product.jar e bookmarks-openfire-plugin-assembly.jar. Depois de configurar um honeypot Openfire para capturar o malware, o Dr. Web pegou trojans adicionais que são usados em ataques na natureza. A primeira das cargas adicionais é um trojan de mineração de criptografia baseado em Go conhecido como Kinsing. Seus operadores exploram o CVE-2023-32315 para criar uma conta de administrador chamada "OpenfireSupport" e, em seguida, instalar um plugin malicioso chamado "plugin.jar" que busca a carga útil do minerador e a instala no servidor. Em outro caso, os invasores instalaram um backdoor UPX baseado em C, seguindo uma cadeia de infecção semelhante. Um terceiro cenário de ataque observado pelos analistas do Dr. Web é onde um plugin malicioso Openfire foi usado para obter informações sobre o servidor comprometido, especificamente conexões de rede, endereços IP, dados do usuário e a versão do kernel do sistema. O Dr. Web observou um total de quatro cenários de ataque distintos aproveitando o CVE-2023-32315, tornando a aplicação das atualizações de segurança disponÃveis exigente. Um ransomware desconhecido O BleepingComputer encontrou vários relatórios de clientes dizendo que seus servidores Openfire foram criptografados com ransomware, com um afirmando que os arquivos foram criptografados com a extensão .locked1. "Eu sou um operador que executa um servidor usando open source de fogo aberto na Coreia. Não é diferente, estou usando o openfire 4.7.4-1.noarch.rpm, mas um dia todos os arquivos em /opt/openfire (caminho de instalação do openfire) são alterados para a extensão .locked1", explicou um administrador do OpenFire. Desde 2022, um agente de ameaças vem criptografando servidores web expostos com ransomware que anexa a extensão .locked1.
README2.html nota de resgate dos ataques do ransomware .locked1Fonte: BleepingComputer BleepingComputer está ciente de servidores Openfire criptografados por este ransomware em junho. Não está claro qual ransomware está por trás desses ataques, mas os pedidos de resgate geralmente são pequenos, variando de 09,12 a 2,300 bitcoins (US$ 3.500 a US$ <>.<>). O agente de ameaças não parece ter como alvo apenas servidores Openfire, mas qualquer servidor Web vulnerável. Portanto, aplicar todas as atualizações de segurança para seus servidores quando elas estiverem disponÃveis é crucial.