แฮกเกอร์ใช้ประโยชน์จากข้อบกพร่องของ Openfire เพื่อเข้ารหัสเซิร์ฟเวอร์


ผู้โจมตีจะติดตั้งปลั๊กอิน Java (ไฟล์ JAR) ที่เป็นอันตรายซึ่งดำเนินการคำสั่งที่ได้รับผ่านคำขอ GET และ POST HTTP

ข้อบกพร่องที่เป็นอันตรายนี้ส่งผลกระทบต่อ Openfire ทุกเวอร์ชันตั้งแต่ 3.10.0 ตั้งแต่ปี 2015 ไปจนถึงเวอร์ชัน 4.6.7 และตั้งแต่ 4.7.0 ถึง 4.7.4 แม้ว่า Openfire จะแก้ไขปัญหาด้วยเวอร์ชัน 4.6.8, 4.7.5 และ 4.8.0 ซึ่งเปิดตัวในเดือนพฤษภาคม พ.ศ. 2566 แต่ VulnCheck รายงานว่าภายในกลางเดือนสิงหาคม พ.ศ. 2566 เซิร์ฟเวอร์ Openfire กว่า 3,000 เครื่องยังคงใช้งานเวอร์ชันที่มีช่องโหว่

     การโจมตีแรนซัมแวร์เซิร์ฟเวอร์ที่เกิดขึ้นหลังจาก CVE-2023-32315 ถูกนำไปใช้เพื่อละเมิดเซิร์ฟเวอร์

ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องเพื่อสร้างผู้ใช้ผู้ดูแลระบบรายใหม่บน Openfire เข้าสู่ระบบและใช้เพื่อติดตั้งปลั๊กอิน JAR ที่เป็นอันตรายซึ่งสามารถเรียกใช้โค้ดที่กำหนดเองได้ ปลั๊กอิน JAVA ที่เป็นอันตรายบางตัวที่ Dr.Web และลูกค้าพบ ได้แก่ helloworld-openfire-plugin-assembly.jar, product.jar และ bookmarks-openfire-plugin-assembly.jar

หลังจากตั้งค่า Honeypot ของ Openfire เพื่อจับมัลแวร์ Dr.Web ก็ตรวจพบโทรจันเพิ่มเติมที่ใช้ในการโจมตีแบบปกติ เพย์โหลดตัวแรกคือโทรจัน crypto แบบ Go-based ที่รู้จักกันในชื่อ Kinsing

ตัวดำเนินการใช้ประโยชน์จาก CVE-2023-32315 เพื่อสร้างบัญชีผู้ดูแลระบบชื่อ "OpenfireSupport" จากนั้นติดตั้งปลั๊กอินที่เป็นอันตรายชื่อ "plugin.jar" ซึ่งจะดึงข้อมูลเพย์โหลดของการติดตั้งบนเซิร์ฟเวอร์

     ในอีกกรณีหนึ่ง ผู้โจมตีได้ติดตั้ง C-based UPX-packed ที่ backdoor แทน การโจมตีครั้งที่สามที่นักวิเคราะห์ของ Dr.Web สังเกตพบคือมีการใช้ปลั๊กอิน Openfire ที่เป็นอันตรายเพื่อรับข้อมูลเกี่ยวกับเซิร์ฟเวอร์ที่ถูกบุกรุก โดยเฉพาะการเชื่อมต่อเครือข่าย ที่อยู่ IP ข้อมูลผู้ใช้ และเวอร์ชันเคอร์เนลของระบบ

      รายงานหลายฉบับจากลูกค้าที่ระบุว่าเซิร์ฟเวอร์ Openfire ของพวกเขาถูกเข้ารหัสด้วยแรนซัมแวร์ โดยรายงานหนึ่งระบุว่าไฟล์ถูกเข้ารหัสด้วยนามสกุล .locked1

ไฟล์ทั้งหมดใน /opt/openfire (เส้นทางการติดตั้ง openfire ) ถูกเปลี่ยนเป็นนามสกุล .locked1"  

     ยังไม่ชัดเจนว่าแรนซั่มแวร์ตัวใดอยู่เบื้องหลังการโจมตีเหล่านี้ แต่โดยทั่วไปแล้วความต้องการเรียกค่าไถ่จะมีเพียงเล็กน้อย ตั้งแต่ .09 ถึง .12 บิตคอยน์ (2,300 ถึง 3,500 ดอลลาร์) ดูเหมือนว่าผู้คุกคามไม่ได้มุ่งเป้าไปที่เซิร์ฟเวอร์ Openfire แต่รวมถึงเว็บเซิร์ฟเวอร์ที่มีช่องโหว่ด้วย ดังนั้น การใช้การอัปเดตความปลอดภัยทั้งหมดสำหรับเซิร์ฟเวอร์พร้อมใช้งานจึงเป็นสิ่งสำคัญ

รายละเอียดเพิ่มเติม : https://www.bleepingcomputer.com/news/security/hackers-actively-exploiting-openfire-flaw-to-encrypt-servers/

Related Posts

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

Read more

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

Read more

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว

Read more
© 2024 INFINITY. All rights reserved.
Terms of Use
Privacy Policy