Невидимая угроза: Openfire и уязвимость, которая не оставляет следов в логах

Несмотря на выпущенные обновления безопасности, тысячи серверов Openfire подвержены активно эксплуатируемой критической уязвимости CVE-2023-32315 (CVSS: 7.5).

Openfire — это популярный открытый чат-сервер (XMPP), основанный на Java и скачанный более 9 млн. раз. Уязвимость позволяет неавторизованному злоумышленнику создавать новые учетные записи администратора и загружать вредоносные плагины.

В мае 2023 года было обнаружено, что версии Openfire, начиная с 3.10.0 (апрель 2015 года), подвержены уязвимости обхода аутентификации. Разработчики выпустили несколько обновлений безопасности (версии 4.6.8, 4.7.5 и 4.8.0). Тем не менее, в июне уже появились сообщения о том, что уязвимость активно эксплуатируется на не обновлённых серверах.

Компания VulnCheck отметила, что множество администраторов серверов не торопятся устанавливать обновления. По данным VulnCheck, около 3000 серверов все еще остаются уязвимыми.

На данный момент существует 6324 сервера Openfire с открытым доступом к интернету, из которых половина (3162 сервера) все еще подвергаются риску заражения из-за использования устаревших версий программного обеспечения.

Кроме того, отчет VulnCheck выявил новый, более скрытный метод эксплуатации уязвимости. В отличие от существующих методов, которые легко обнаруживаются в журналах аудита, новый метод позволяет злоумышленникам загружать вредоносные плагины, минуя процесс создания учетной записи администратора, что делает атаку менее заметной.

Уязвимость уже активно эксплуатируется в реальных условиях (In The Wild, ITW), в том числе для установки криптомайнера Kinsing. Появление нового метода эксплуатации может вызвать вторую волну атак, которая будет еще более мощной и опасной.

Администраторам серверов Openfire настоятельно рекомендуется как можно скорее обновить системы до защищенных версий, чтобы предотвратить возможные кибератаки и утечку конфиденциальной информации.