محققان Aqua Nautilus گزارش می دهند که عامل تهدید ممکن است پلاگین های مخرب را آپلود کند و در نتیجه یک کاربر مدیر جدید ایجاد کند. مهاجم در نهایت کنترل کامل سرور را در اختیار دارد. Openfire یک سرور همکاری بلادرنگ (RTC) است که به عنوان یک پلت فرم چت برای انتقال پیام های فوری از طریق XMPP (پروتکل پیام رسانی و حضور توسعه پذیر) عمل می کند.
در ماه مه سال جاری کشف شد و قصد داشت به عنوان یک سرور IM داخلی برای مشاغل عمل کند و از بیش از 50000 کاربر همزمان پشتیبانی کند و به آنها دسترسی به یک کانال امن برای تعامل بخش ها را بدهد.
جریان حمله کمپین خویشاوندی
این کمپین Kinsing از این نقص استفاده میکند، بد افزار Kinsing در زمان اجرا و یک ماینر رمزنگاری را تزریق میکند، برای جلوگیری از شناسایی کار میکند و به دنبال ایجاد پایداری است.
عامل تهدید اینترنت را برای سرورهای Openfire بررسی می کند و به محض شناسایی سرور، بلافاصله بررسی می شود تا ببیند آیا CVE-2023-32315 حساس است یا خیر.
محققان میگویند: «در این کمپین، عامل تهدید از این آسیبپذیری برای ایجاد یک کاربر مدیریت جدید و آپلود یک افزونه (cmd.jsp) استفاده میکند که برای استقرار بار اصلی – بدافزار Kinsing طراحی شده است.
عامل تهدید سپس می تواند با موفقیت رویه احراز هویت را برای پنل مدیریت Openfire به پایان برساند و پس از اینکه کاربر جدید با موفقیت تشکیل شد، به عنوان یک کاربر تأیید شده دسترسی کامل به دست آورد.
علاوه بر این، به عامل تهدید دسترسی بیشتری در سیستم داده می شود زیرا شخص به عنوان یک مدیر اضافه شده است.سپس عامل تهدید یک پلاگین مخرب را آپلود می کند و دستورات پوسته وب را روی سرور فعال می کند.
عامل تهدید یک فایل فشرده را آپلود می کند که یک سوء استفاده از Metasploit است که هدف آن گسترش cmd.jsp برای فعال کردن درخواست های HTTP در اختیار عامل تهدید است. محققان توضیح می دهند که این امکان دانلود بدافزار Kinsing را می دهد که در افزونه سخت کدگذاری شده است.
در کمتر از دو ماه، محققان بیش از هزار حمله را دیدهاند که از آسیبپذیری Openfire استفاده میکنند.
توصیه
بهتر است درک خود را افزایش دهید و حفاظت از منابع را در اولویت بیشتری قرار دهید.
• محیط خود را به روز نگه دارید
• محیط ها را با پشتکار پیکربندی کنید
• انجام اسکن های محیطی گسترده برای تهدیدات ناشناخته.