Le 25 septembre 2023

Doctor Web informe les utilisateurs de la propagation de plug-ins malveillants pour le serveur de messagerie Openfire. Partout dans le monde, au moment de la publication, plus de 3 000 serveurs équipés du logiciel Openfire sont vulnérables, ce qui permet aux pirates d'accéder au système de fichiers et d'utiliser des serveurs infectés au sein d'un botnet.

En juin 2023, Doctor Web a été contacté par l'un de ses clients avec un rapport d'incident dans lequel des attaquants ont pu crypter des fichiers sur un serveur. L'enquête a révélé que l'infection a été mise en œuvre lors de la post-exploitation de la vulnérabilité CVE-2023-32315 dans le logiciel de messagerie Openfire. Cet exploit réalise une attaque par traversée de répertoire et permet d'accéder à l'interface d'administration du logiciel Openfire sans authentification, ce qui est utilisé par les attaquants pour créer un nouvel utilisateur avec des privilèges d'administration. Ensuite, les attaquants se connectent sous un nouveau compte et installent un plugin malveillant helloworld-openfire-plugin-assembly.jar (SHA1:41 d2247842151825aa8001a35dd339a0fef2813f), qui assure l'exécution de code arbitraire. Le plugin permet d'exécuter des commandes d'interpréteur de ligne de commande sur le serveur avec le logiciel Openfire installé, ainsi que d'exécuter du code écrit en Java, qui est transmis dans une requête POST au plugin. C'est ainsi que le ransomware de chiffrement a été lancé sur le serveur de notre client.

Pour obtenir un échantillon de ce rançongiciel, nous avons créé un serveur appât avec le logiciel Openfire installé et avons observé des attaques pendant plusieurs semaines. Pendant le fonctionnement de ce serveur, nous avons réussi à obtenir des échantillons de trois plug-ins malveillants différents. De plus, des représentants de deux familles de chevaux de Troie ont été installés sur notre serveur après le piratage du logiciel Openfire.

Le premier cheval de Troie était un miner écrit dans le langage Go, connu sous le nom de kinsing (Linux.BtcMine.546). L'attaque à l'aide de ce cheval de Troie est réalisée en quatre étapes :

1. Exploitation de la vulnérabilité CVE-2023-32315 pour créer un compte administrateur nommé OpenfireSupport.
2. Authentification sous l'utilisateur créé.
3. Installation du plugin malveillant plugin.jar (SHA1: 0c6249feee3fef50fc0a5a06299c3e81681cc838) sur le serveur.
4. Téléchargement et lancement du Trojan à l'aide du plugin malveillant installé.

Un autre scénario prévoit l'installation du Trojan Linux.BackDoor.Tsunami.1395 écrit en langage C et emballé par le packer UPX. Le processus d'infection est largement similaire à celui décrit ci-dessus, à la différence que le compte utilisateur administrateur est créé avec un nom et un mot de passe aléatoires.

Le troisième scénario est du plus grand intérêt, puisque les attaquants n'ont pas installé le cheval de Troie dans le système, mais ont utilisé un plugin malveillant pour Openfire, à travers lequel ils ont reçu des informations sur le serveur compromis. Notamment, des informations sur les connexions réseau, l'adresse IP, les utilisateurs et la version du noyau système.

Dans tous les cas, les plugins malveillants installés sont les portes dérobées JSP.BackDoor.8, écrites en Java. Ces plugins permettent d'exécuter un certain nombre de commandes sous la forme de requêtes GET et POST envoyées par des attaquants.

La vulnérabilité du serveur de messagerie Openfire en question a été corrigée dans les mises à jour vers les versions 4.6.8 et 4.7.5. Doctor Web recommande d'utiliser les versions mises à jour. En l'absence d'une telle possibilité, des efforts doivent être faits pour minimiser la zone d'attaque : restreindre l'accès réseau aux ports 9090 et 9091, modifier le fichier de configuration Openfire, rediriger l'adresse de la console d'administrateur vers l'interface loopback ou bien utiliser le plugin AuthFilterSanitizer.

L'antivirus Dr.Web détecte et neutralise avec succès les modifications de la porte dérobée JSP.BackDoor.8, ainsi que celles des Trojans Linux.BtcMine et Linux.BackDoor.Tsunami.

• Indicateurs de compromission
• En savoir plus sur JSP.BackDoor.8
• En savoir plus sur Linux.BtcMine
• En savoir plus sur Linux.BackDoor.Tsunami.1395