Binlerce OpenFire sunucusu, kimlik doğrulanmamış bir kullanıcının yeni yönetici hesapları oluşturmasına izin veren aktif olarak sömürülmemiş ve yol geçiş güvenlik açığı olan CVE-2023-32315'e karşı savunmasız kalır.
OpenFire, 9 milyon kez indirilen yaygın olarak kullanılan bir Java tabanlı açık kaynaklı sohbet (XMPP) sunucusudur.
23 Mayıs 2023'te, yazılımın Nisan 2015'te yayınlanan 3.10.0 sürümünü etkileyen bir kimlik doğrulama baypas sorunundan etkilendiği açıklandı.
OpenFire geliştiricileri, sorunu ele almak için 4.6.8, 4.7.5 ve 4.8.0 sürümlerinde güvenlik güncellemelerini yayınladı. Yine de, Haziran ayında, kusurun yönetici kullanıcıları oluşturmak ve piyasaya sürülmemiş sunuculara kötü amaçlı eklentiler yüklemek için aktif olarak kullanıldığı bildirilmiştir [1, 2].
Vulncheck güvenlik açığı araştırmacısı Jacob Baines tarafından yapılan bir raporda vurgulandığı gibi, OpenFire topluluğu güvenlik güncellemelerini uygulamak için koşmadı ve 3.000'den fazla sunucu savunmasız olarak iyileştirildi.
Daha da kötüsü, Baines, bir yönetici hesabı oluşturmadan kusurdan yararlanmanın ve eklentileri yüklemenin bir yolu olduğunu ve siber suçlular için çok daha davetkar ve daha az gürültülü hale getirdiğini söylüyor.
Vulncheck, Shodan taramalarının% 50'sinin (3.162 sunucu) modası geçmiş bir versiyon çalıştırması nedeniyle hala CVE-2023-32315'e karşı savunmasız kaldığı 6.324 internete bakan OpenFire sunucularını ortaya koyduğunu bildiriyor.
Kullanıcıların sadece% 20'si yamalı,% 25'i 3.10.0'dan daha eski bir versiyon kullanıyor, bu da güvenlik açığı yazılıma tanıtıldığında ve etkilenebilecek veya etkilenmeyebilecek% 5 açık kaynak projesinin% 5 koşu çatalları.
Vulncheck, sayı etkileyici olmasa da, bu sunucuların iletişim altyapısında, hassas bilgileri ele almada vb. Oynadığı rol göz önüne alındığında önemlidir.
CVE-2023-32315 için mevcut genel istismarlar, saldırganların ters kabukları açan veya tehlikeye atılan sunucularda komutlar yürüten kötü amaçlı Java kavanoz eklentileri yüklemesine izin vermek için bir yönetici kullanıcısı oluşturmaya güvenir.
Gerçek dünyadaki sömürü örnekleri, savunmasız sunucuda ters bir kabuk başlatan özel hazırlanmış bir OpenFire eklentisi kurmak için güvenlik açığından yararlanan kinsing kripto-miner botnet'in arkasındaki tehdit aktörlerini içerir.
Bununla birlikte, yönetici kullanıcıları oluşturmak için mevcut istismarlar gürültülüdür, bu da savunucuların denetim günlüklerinden ihlalleri tespit etmesini kolaylaştırır. Ne yazık ki, Vulncheck'in raporu, rastgele yönetici hesapları oluşturmadan kusurdan yararlanmanın daha kapsamlı bir yolunu vurgulamaktadır.
POC örneklerinde analistler, doğrudan 'plugin-admin.jsp'e erişerek ve sonra jar eklentisini bir posta isteği aracılığıyla yükleyerek JSessionId ve CSRF jetonunu çıkarmanın bir yolunu sergiliyorlar.
Eklenti, savunmasız sunucuda kabul edilir ve yüklenir ve Web Shell'e yönetici hesabı gerekmeden erişilebilir.
Bu saldırı güvenlik günlüklerinde izler bırakmadığından, mevcut istismarların yaptıklarından çok daha gizlidir ve savunucular için tespit fırsatlarını ortadan kaldırır.
CVE-2023-32315, bir botnet kötü amaçlı yazılım dahil olmak üzere aktif sömürü altında olduğundan, Vulncheck'in POC'si daha zorlu bir ikinci saldırı dalgasını besleyebilir.
Bu nedenle, yamalı bir sürüme yükseltilmeyen OpenFire sunucularının yöneticilerinin mümkün olan en kısa sürede yapması istenir.
300.000+ Fortinet Güvenlik Duvarı Kritik Fortios RCE HATA KORUNLUK
Saldırılarda sıfır gün olarak istismar edilen Ivanti nöbetçi böcek için serbest bırakılan istismar
Winrar Zero-Day Nisan ayından bu yana Ticaret Hesaplarını Hacklemek
Ivanti yeni aktif olarak sömürülen mobileon sıfır gün hatası konusunda uyarıyor
Bilgisayar korsanları, Minecraft sunucularını hedeflemek için Bleedingpipe RCE'yi sömürüyor, oyuncular
Kaynak: Bleeping Computer