25 settembre 2023

L'azienda Doctor Web informa gli utenti sulla diffusione di plugin malevoli per il server di messaggistica Openfire. In tutto il mondo, al momento della pubblicazione, oltre 3000 server con il software Openfire installato sono suscettibili a una vulnerabilità che consente agli hacker di ottenere l'accesso al file system e utilizzare i server infettati come parte di una botnet.

A giugno 2023 all'azienda Doctor Web si è rivolto uno dei clienti che segnalava un incidente nel corso del quale i malintenzionati erano riusciti a criptare i file su un server. Nel processo dell'indagine è stato scoperto che l'infezione era stata realizzata durante il post-sfruttamento della vulnerabilità CVE-2023-32315 nel software di messaggistica Openfire. Questo exploit esegue un attacco di tipo "attraversamento delle directory" e consente di ottenere l'accesso all'interfaccia amministrativa del software Openfire senza autenticazione, il che viene usato dai malintenzionati per creare un nuovo utente con i privilegi di amministratore. Quindi gli hacker effettuano l'accesso al sistema con il nuovo account e installano un plugin malevolo, helloworld-openfire-plugin-assembly.jar (SHA1:41d2247842151825aa8001a35ee339a0fef2813f), il quale assicura l'esecuzione di codice arbitrario. Il plugin consente di eseguire i comandi dell'interprete della riga di comando su un server con il software Openfire installato, e inoltre, avviare un codice scritto in linguaggio Java che viene trasmesso in una richiesta POST al plugin. Proprio questo è il modo in cui è stato avviato il trojan di criptazione sul server del nostro cliente.

Per ottenere un campione di questo software di criptazione, abbiamo creato un server esca honeypot con il software Openfire installato e durante alcune settimane osservavamo gli attacchi ad esso. Durante il periodo in cui questo server era in funzione, siamo riusciti a ottenere campioni di tre diversi plugin malevoli. Oltre a ciò, abbiamo ottenuto campioni di due famiglie di trojan che venivano installati sul nostro server dopo l'hackeraggio del software Openfire.

Il primo trojan era un programma miner di criptovalute scritto in linguaggio Go, conosciuto con il nome di kinsing (Linux.BtcMine.546). Un attacco tramite questo trojan viene effettuato in quattro fasi:

1. Sfruttamento della vulnerabilità CVE-2023-32315 per creare un account amministratore con il nome OpenfireSupport.
2. Autenticazione con l'utente creato.
3. Installazione del plugin malevolo plugin.jar (SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838) sul server.
4. Download e avvio del trojan tramite il plugin malevolo installato.

Nell'ambito di un altro scenario di attacco, sul sistema veniva installato il trojan Linux.BackDoor.Tsunami.1395, scritto in linguaggio C e compresso tramite il packer UPX. Il processo di infezione è in gran parte simile a quello descritto sopra, con la differenza che l'utente amministrativo viene creato con nome e password casuali.

Il terzo scenario è di massimo interesse perché i malintenzionati non installavano trojan sul sistema, ma utilizzavano un plugin malevolo per Openfire attraverso cui ottenevano informazioni sul server compromesso. In particolare, informazioni su connessioni di rete, indirizzo IP, utenti e versione del kernel del sistema.

I plugin malevoli installati in tutti i casi rappresentano i backdoor JSP.BackDoor.8, scritti in Java. Questi plugin consentono di eseguire una serie di comandi sotto forma di richieste GET POST inviate dai malintenzionati.

La vulnerabilità del server di messaggistica Openfire considerata è stata risolta negli aggiornamenti di questo software alle versioni 4.6.8 e 4.7.5. Gli specialisti dell'azienda Doctor Web consigliano di utilizzare le versioni aggiornate. In assenza di tale possibilità, è necessario fare uno sforzo per ridurre al minimo la superficie di attacco: limitare l'accesso di rete alle porte 9090 e 9091, modificare il file delle impostazioni Openfire, reindirizzare l'indirizzo della console di amministratore all'interfaccia loopback o utilizzare il plugin AuthFilterSanitizer.

L'antivirus Dr.Web rileva e neutralizza con successo le varianti del backdoor JSP.BackDoor.8, nonché i trojan delle famiglie Linux.BtcMine e Linux.BackDoor.Tsunami, pertanto, essi non rappresentano alcun pericolo per i nostri utenti.

• Indicatori di compromissione
• Maggiori informazioni su JSP.BackDoor.8
• Maggiori informazioni su Linux.BtcMine
• Maggiori informazioni su Linux.BackDoor.Tsunami.1395