25 de septiembre de 2023
En junio del año 2023 la empresa Doctor Web fue contactada por un cliente que informaba sobre un incidente durante el cual los malintencionados habían podido cifrar los archivos en el servidor. En el proceso de investigación se averiguó que la infección fue realizada durante la post explotación de la vulnerabilidad CVE-2023-32315 en el software de intercambio de mensajes Openfire. Este exploit realiza un ataque de tipo «esquivar el catálogo» y permite acceder a la interfaz administrativa del software Openfire sin autorización, lo cual se usa por los malintencionados para crear un nuevo usuario con privilegios de administrador. Luego los hackers entran en el sistema con la nueva cuenta e instalan un complemento malicioso helloworld-openfire-plugin-assembly.jar (SHA1:41d2247842151825aa8001a35ee339a0fef2813f) que asegura la ejecución del código aleatorio. El complemento permite ejecutar los comandos del interpretador de la línea de comando en el servidor con el software Openfire instalado, así como iniciar un código creado en lenguaje Java que se transfiere en la solicitud POST para el complemento. De esta forma fue iniciado un troyano cifrado en el servidor de nuestro cliente.
Para recibir una muestra de este cifrador, hemos creado un servidor aliciente con el software Openfire instalado y durante varias semanas observábamos los ataques al mismo. Durante el funcionamiento de este servidor, conseguimos recibir las muestras de tres complementos maliciosos de varios tipos. Además, hemos recibido representantes de dos familias de troyanos que se instalaban en nuestro servidor una vez hackeado el software Openfire.
El primer troyano fue un miner creado en lenguaje Go, conocido como kinsing (Linux.BtcMine.546). Un ataque con este troyano se realiza en cuatro etapas:
- Uso de la vulnerabilidad CVE-2023-32315 para crear una cuenta administrativa llamada OpenfireSupport.
- Autenticación con el usuario creado.
- Instalación del complemento malicioso plugin.jar (SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838) en el servidor.
- Descarga e inicio del troyano con el complemento malicioso instalado.
En el marco de otro escenario, en el sistema se instaba el troyano Linux.BackDoor.Tsunami.1395, creado en lenguaje С y comprimido por el comprimidor UPX. El proceso de infección es similar al descrito más arriba, pero el usuario administrativo se crea con el nombre y la contraseña aleatorios.
El tercer escenario es de mayor interés porque los malintencionados no instalaron el troyano en el sistema, sino usaron un complemento malicioso para Openfire, a través del cual recibían la información sobre el servidor comprometido. En particular, la información sobre las conexiones de red, la dirección IP, los usuarios y la versión del núcleo del sistema.
Los complementos maliciosos instalados en todos los casos son backdoors JSP.BackDoor.8, creados en lenguaje Java. Estos complementos permiten ejecutar varios comandos como solicitudes GET- y POST enviados por los malintencionados.
La vulnerabilidad del servidor de envío de mensajes Openfire en cuestión fue corregida en actualizaciones de este software hasta versiones 4.6.8 y 4.7.5. Los expertos de la empresa Doctor Web recomiendan usar las versiones actualizadas. Si no hay esta posibilidad, se recomienda minimizar el alcance del ataque: restricción del acceso de red a los puertos 9090 y 9091, cambio del archivo de configuración Openfire, redirección de la dirección de la consola del administrador a la interfaz loopback o el uso del complemento AuthFilterSanitizer.
El Antivirus Dr.Web detecta correctamente y neutraliza las modificaciones del backdoor JSP.BackDoor.8, así como de troyanos de las familias Linux.BtcMine y Linux.BackDoor.Tsunami por lo tanto, los mismos no son de amenaza para nuestros usuarios.
Nos importa su opinión
Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.
Otros comentarios