Невидимая угроза: Openfire и уязвимость, которая не оставляет следов в логах

Несмотря на выпущенные обновления безопасности, тысячи серверов Openfire подвержены активно эксплуатируемой критической уязвимости CVE-2023-32315 (CVSS: 7.5).

Openfire — это популярный открытый чат-сервер (XMPP), основанный на Java и скачанный более 9 млн. раз. Уязвимость позволяет неавторизованному злоумышленнику создавать новые учетные записи администратора и загружать вредоносные плагины.

В мае 2023 года было обнаружено, что версии Openfire, начиная с 3.10.0 (апрель 2015 года), подвержены уязвимости обхода аутентификации . Разработчики выпустили несколько обновлений безопасности (версии 4.6.8, 4.7.5 и 4.8.0). Тем не менее, в июне уже появились сообщения о том, что уязвимость активно эксплуатируется на не обновлённых серверах.

Компания VulnCheck отметила , что множество администраторов серверов не торопятся устанавливать обновления. По данным VulnCheck, около 3000 серверов все еще остаются уязвимыми.

На данный момент существует 6324 сервера Openfire с открытым доступом к интернету, из которых половина (3162 сервера) все еще подвергаются риску заражения из-за использования устаревших версий программного обеспечения.

Кроме того, отчет VulnCheck выявил новый, более скрытный метод эксплуатации уязвимости. В отличие от существующих методов, которые легко обнаруживаются в журналах аудита, новый метод позволяет злоумышленникам загружать вредоносные плагины, минуя процесс создания учетной записи администратора, что делает атаку менее заметной.

Уязвимость уже активно эксплуатируется в реальных условиях (In The Wild, ITW), в том числе для установки криптомайнера Kinsing. Появление нового метода эксплуатации может вызвать вторую волну атак, которая будет еще более мощной и опасной.

Администраторам серверов Openfire настоятельно рекомендуется как можно скорее обновить системы до защищенных версий, чтобы предотвратить возможные кибератаки и утечку конфиденциальной информации.