25 de septiembre de 2023

La empresa Doctor Web informa a usuarios sobre la propagación de complementos maliciosos para el servidor de intercambio de mensajes Openfire. En todo el mundo en el momento de publicación más de 3000 servidores con el software Openfire instalado se someten a la vulnerabilidad que permite a los hackers acceder al sistema de archivos y usar los servidores infectados en la botnet.

En junio del año 2023 la empresa Doctor Web fue contactada por un cliente que informaba sobre un incidente durante el cual los malintencionados habían podido cifrar los archivos en el servidor. En el proceso de investigación se averiguó que la infección fue realizada durante la post explotación de la vulnerabilidad CVE-2023-32315 en el software de intercambio de mensajes Openfire. Este exploit realiza un ataque de tipo «esquivar el catálogo» y permite acceder a la interfaz administrativa del software Openfire sin autorización, lo cual se usa por los malintencionados para crear un nuevo usuario con privilegios de administrador. Luego los hackers entran en el sistema con la nueva cuenta e instalan un complemento malicioso helloworld-openfire-plugin-assembly.jar (SHA1:41d2247842151825aa8001a35ee339a0fef2813f) que asegura la ejecución del código aleatorio. El complemento permite ejecutar los comandos del interpretador de la línea de comando en el servidor con el software Openfire instalado, así como iniciar un código creado en lenguaje Java que se transfiere en la solicitud POST para el complemento. De esta forma fue iniciado un troyano cifrado en el servidor de nuestro cliente.

Para recibir una muestra de este cifrador, hemos creado un servidor aliciente con el software Openfire instalado y durante varias semanas observábamos los ataques al mismo. Durante el funcionamiento de este servidor, conseguimos recibir las muestras de tres complementos maliciosos de varios tipos. Además, hemos recibido representantes de dos familias de troyanos que se instalaban en nuestro servidor una vez hackeado el software Openfire.

El primer troyano fue un miner creado en lenguaje Go, conocido como kinsing (Linux.BtcMine.546). Un ataque con este troyano se realiza en cuatro etapas:

1. Uso de la vulnerabilidad CVE-2023-32315 para crear una cuenta administrativa llamada OpenfireSupport.
2. Autenticación con el usuario creado.
3. Instalación del complemento malicioso plugin.jar (SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838) en el servidor.
4. Descarga e inicio del troyano con el complemento malicioso instalado.

En el marco de otro escenario, en el sistema se instaba el troyano Linux.BackDoor.Tsunami.1395, creado en lenguaje С y comprimido por el comprimidor UPX. El proceso de infección es similar al descrito más arriba, pero el usuario administrativo se crea con el nombre y la contraseña aleatorios.

El tercer escenario es de mayor interés porque los malintencionados no instalaron el troyano en el sistema, sino usaron un complemento malicioso para Openfire, a través del cual recibían la información sobre el servidor comprometido. En particular, la información sobre las conexiones de red, la dirección IP, los usuarios y la versión del núcleo del sistema.

Los complementos maliciosos instalados en todos los casos son backdoors JSP.BackDoor.8, creados en lenguaje Java. Estos complementos permiten ejecutar varios comandos como solicitudes GET- y POST enviados por los malintencionados.

La vulnerabilidad del servidor de envío de mensajes Openfire en cuestión fue corregida en actualizaciones de este software hasta versiones 4.6.8 y 4.7.5. Los expertos de la empresa Doctor Web recomiendan usar las versiones actualizadas. Si no hay esta posibilidad, se recomienda minimizar el alcance del ataque: restricción del acceso de red a los puertos 9090 y 9091, cambio del archivo de configuración Openfire, redirección de la dirección de la consola del administrador a la interfaz loopback o el uso del complemento AuthFilterSanitizer.

El Antivirus Dr.Web detecta correctamente y neutraliza las modificaciones del backdoor JSP.BackDoor.8, así como de troyanos de las familias Linux.BtcMine y Linux.BackDoor.Tsunami por lo tanto, los mismos no son de amenaza para nuestros usuarios.

• Indicadores de compromiso
• Más información sobre JSP.BackDoor.8
• Más información sobre Linux.BtcMine
• Más información sobre Linux.BackDoor.Tsunami.1395