Language
Les cyberattaquants envahissent les serveurs OpenFire Cloud avec un barrage de prise de contrôle

Blog

MaisonMaison / Blog / Les cyberattaquants envahissent les serveurs OpenFire Cloud avec un barrage de prise de contrôle
search

Aug 28, 2023

Un serveur de restaurant entraîne des gens qui n'achètent rien

Aug 20, 2023

Windows Server vNext build 25941 pour Windows Insiders est maintenant disponible

Aug 08, 2023

Kajeet smartSIM est lancé avec les dernières normes GSMA pour basculer intelligemment et à distance entre les principaux fournisseurs de réseau

Aug 12, 2023

Sunbird® Power IQ® DCIM Monitoring 6.0 offre des améliorations qui permettent une gestion moderne des centres de données plus rapide et plus sécurisée

Jul 22, 2023

Les actions de Rectifier Technologies (RFT) bondissent sur un bon de commande de 32,6 millions de dollars

Envoyez votre demande
SOUMETTRE

Aug 27, 2023

Les cyberattaquants envahissent les serveurs OpenFire Cloud avec un barrage de prise de contrôle

Le groupe de cybercriminalité Kinsing est de retour avec un nouveau vecteur d'attaque : frapper une faille de traversée de chemin précédemment révélée dans l'application de messagerie d'entreprise Openfire pour créer un administrateur non authentifié.

Le groupe de cybercriminalité Kinsing est de retour avec un nouveau vecteur d'attaque : frapper une faille de traversée de chemin précédemment révélée dans l'application de messagerie d'entreprise Openfire pour créer des utilisateurs administrateurs non authentifiés. À partir de là, ils prennent le contrôle total des serveurs cloud Openfire et peuvent télécharger le malware et un cryptominer Monero sur des plateformes compromises.

Les chercheurs d'Aqua Nautilus ont observé plus de 1 000 attaques en moins de deux mois exploitant la vulnérabilité Openfire, CVE-2023-32315, qui a été divulguée et corrigée en mai, ont-ils révélé dans un article de blog cette semaine. Cependant, la semaine dernière, la CISA a ajouté la faille à son catalogue de vulnérabilités exploitées connues.

Openfire est un serveur Web de collaboration en temps réel (RTC) utilisé comme plate-forme de discussion sur XMPP qui prend en charge plus de 50 000 utilisateurs simultanés. De par sa conception, il est censé constituer un moyen sécurisé et segmenté permettant aux utilisateurs de l'entreprise de communiquer entre les départements et les lieux de travail distants.

La faille rend cependant la console d'administration d'Openfire vulnérable aux attaques par traversée de chemin via son environnement de configuration, permettant à un utilisateur régulier non authentifié d'accéder aux pages de la console réservées aux utilisateurs administratifs.

C'est exactement ce que font les attaquants, en s'authentifiant en tant qu'administrateurs pour télécharger des plugins malveillants et éventuellement prendre le contrôle du serveur Openfire dans le but d'extraire de la cryptographie, selon Aqua Nautilus. Kinsing est un malware basé sur Golang surtout connu pour son ciblage de Linux ; cependant, les chercheurs de Microsoft ont récemment observé une évolution dans ses tactiques pour pivoter vers d'autres environnements.

"Cette campagne Kinsing exploite la vulnérabilité, supprime le logiciel malveillant Kinsing et un cryptomineur, [et] tente d'échapper à la détection et de gagner en persistance", ont écrit Nitzan Yaakov, analyste des données de sécurité d'Aqua Nautilus, et Assaf Morag, analyste principal des données, dans le message.

Les chercheurs d'Aqua Nautilus ont créé début juillet un pot de miel Openfire qui, selon eux, a été immédiatement ciblé, avec 91 % des attaques attribuées à la campagne Kinsing. Plus précisément, ils ont découvert deux types d'attaques, la plus répandue déployant un shell Web et permettant à l'attaquant de télécharger des logiciels malveillants Kinsing et des cryptomineurs. En effet, la reprise de serveurs cloud à des fins de cryptomining est une marque distinctive du groupe Kinsing.

Lors des dernières attaques Kinsing, les acteurs malveillants exploitent la vulnérabilité pour créer un nouvel utilisateur administrateur et télécharger un plugin, cmd.jsp, conçu pour déployer la charge utile du malware Kinsing. Une fois cela fait, les attaquants procèdent à un processus d'authentification valide pour le panneau d'administration Openfire, obtenant un accès complet en tant qu'utilisateur administrateur authentifié et leur donnant finalement carte blanche sur l'application et le serveur sur lequel elle s'exécute. Ensuite, les attaquants téléchargent un exploit Metasploit. dans un fichier .ZIP, qui étend le plugin pour activer les requêtes http à leur disposition, leur permettant de télécharger Kinsing, qui est codé en dur dans le plugin, ont indiqué les chercheurs.

Le malware communique ensuite avec le système de commande et de contrôle et télécharge un script shell en tant que charge utile secondaire qui crée une persistance sur le serveur, permettant ainsi de nouvelles activités d'attaque, qui incluent le déploiement d'un cryptomineur Monero.

La deuxième attaque, moins répandue, que les chercheurs ont observée dans leur pot de miel implique le même exploit Metasploit. Cependant, jusqu’à présent, les attaquants n’ont utilisé ce vecteur que pour collecter des informations sur le système et n’ont pas poussé plus loin, ont indiqué les chercheurs.

Une recherche Shodan a révélé 6 419 serveurs connectés à Internet avec le service Openfire en cours d'exécution, dont 5 036 étaient accessibles. Parmi eux, 984, soit 19,5 %, étaient vulnérables à la faille CVE-2023-32315 ; ceux-ci sont situés principalement aux États-Unis, en Chine et au Brésil.

Cependant, de nombreux autres systèmes pourraient être menacés par des attaquants qui accèdent à l'environnement par d'autres moyens. Aqua Nautilus exhorte les administrateurs de tout système d'entreprise sur lequel Openfire est déployé à identifier si leur instance est vulnérable, à corriger et à sécuriser le cas échéant. Pour y parvenir, les chercheurs ont fourni des captures d’écran illustrant leur propre processus de validation dans le billet de blog.