Les pirates exploitent activement une vulnérabilité de haute gravité dans les serveurs de messagerie Openfire pour chiffrer les serveurs avec un ransomware et déployer des cryptomineurs.

Openfire est un serveur de chat open source basé sur Java (XMPP) largement utilisé, téléchargé 9 millions de fois et largement utilisé pour des communications de chat sécurisées et multiplateformes.

La faille, identifiée comme CVE-2023-32315, est un contournement d’authentification affectant la console d’administration d’Openfire, permettant à des attaquants non authentifiés de créer de nouveaux comptes administrateur sur des serveurs vulnérables.

À l’aide de ces comptes, les attaquants installent des plugins Java malveillants (fichiers JAR) qui exécutent les commandes reçues via les requêtes HTTP GET et POST.

Cette faille dangereuse impacte toutes les versions d’Openfire depuis la 3.10.0, datant de 2015, jusqu’à la 4.6.7 et de la 4.7.0 à la 4.7.4.

Bien qu’Openfire ait résolu le problème avec les versions 4.6.8, 4.7.5 et 4.8.0, publiées en mai 2023, VulnCheck a signalé qu’à la mi-août 2023, plus de 3 000 serveurs Openfire exécutaient toujours une version vulnérable.

Dr. Web signale désormais des signes d’exploitation active, les pirates ayant profité de la surface d’attaque pour leurs campagnes malveillantes.

Le premier cas d’exploitation active observé par Dr. Web remonte à juin 2023, lorsque la société de sécurité a enquêté sur une attaque de ransomware sur serveur survenue après l’exploitation de CVE-2023-32315 pour pirater le serveur.

Les attaquants ont exploité cette faille pour créer un nouvel utilisateur administrateur sur Openfire, se sont connectés et l’ont utilisé pour installer un plugin JAR malveillant capable d’exécuter du code arbitraire.

« Le plugin permet d’exécuter des commandes shell sur un serveur sur lequel le logiciel Openfire est installé, ainsi que du code écrit en Java, d’être lancé puis transmis au plugin dans une requête POST. C’est exactement ainsi que le cheval de Troie de chiffrement a été lancé sur le serveur de notre client. » – Dr Web.
Certains des plugins JAVA malveillants vus par Dr. Web et ses clients incluent helloworld-openfire-plugin-assembly.jar, product.jar et bookmarks-openfire-plugin-assembly.jar.

Après avoir configuré un pot de miel Openfire pour capturer les logiciels malveillants, Dr. Web a détecté d’autres chevaux de Troie utilisés dans des attaques sauvages.

La première des charges utiles supplémentaires est un cheval de Troie de crypto-minage basé sur Go connu sous le nom de Kinsing.

Ses opérateurs exploitent CVE-2023-32315 pour créer un compte administrateur nommé « OpenfireSupport », puis installent un plugin malveillant appelé « plugin.jar » qui récupère la charge utile du mineur et l’installe sur le serveur.

Dans un autre cas, les attaquants ont plutôt installé une porte dérobée UPX basée sur C, suivant une chaîne d’infection similaire.

Un troisième scénario d’attaque observé par les analystes de Dr. Web est celui où un plugin Openfire malveillant a été utilisé pour obtenir des informations sur le serveur compromis, en particulier les connexions réseau, les adresses IP, les données utilisateur et la version du noyau du système.

Dr. Web a observé un total de quatre scénarios d’attaque distincts exploitant CVE-2023-32315, ce qui rend l’application des mises à jour de sécurité disponibles exigeante.

Un ransomware inconnu
Breachtrace a trouvé plusieurs rapports de clients affirmant que leurs serveurs Openfire étaient cryptés avec un ransomware, l’un d’eux indiquant que les fichiers étaient cryptés avec l’extension .locked1.

« Je suis un opérateur qui gère un serveur utilisant open fire open source en Corée. Ce n’est pas différent, j’utilise openfire 4.7.4-1.noarch.rpm, mais un jour tous les fichiers dans /opt/openfire (chemin d’installation openfire ) sont remplacés par l’extension .locked1 », a expliqué un administrateur d’OpenFire.

Depuis 2022, un acteur malveillant chiffre les serveurs Web exposés avec un ransomware qui ajoute l’extension .locked1.

Note de rançon README2.html contre les attaques de ransomware .locked1

Breachtrace est au courant des serveurs Openfire cryptés par ce ransomware en juin.

On ne sait pas exactement quel ransomware se cache derrière ces attaques, mais les demandes de rançon sont généralement faibles, allant de 0,09 à 0,12 bitcoins (2 300 à 3 500 dollars).

L’acteur menaçant ne semble pas cibler uniquement les serveurs Openfire, mais tout serveur Web vulnérable. Par conséquent, il est crucial d’appliquer toutes les mises à jour de sécurité pour vos serveurs dès qu’elles sont disponibles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *