Binlerce Openfire XMPP sunucuları bir rapora göre, yakın zamanda açıklanan yüksek önemdeki bir kusura karşı yama yapılmamış ve yeni bir istismara açık. yeni rapor VulnCheck’ten.
Şu şekilde izlendi: CVE-2023-32315 (CVSS puanı: 7,5), güvenlik açığı, Openfire’ın yönetim konsolunda, kimliği doğrulanmamış bir saldırganın ayrıcalıklı kullanıcılar için ayrılmış, normalde kısıtlanmış sayfalara erişmesine izin verebilecek bir yol geçiş güvenlik açığıyla ilgilidir.
Yazılımın 3.10.0 sürümünden başlayarak Nisan 2015’ten bu yana yayımlanan tüm sürümlerini etkiler. Bu sorun, geliştiricisi Ignite Realtime tarafından Mayıs ayı başlarında 4.6.8, 4.7.5 ve 4.8.0 sürümlerinin yayınlanmasıyla düzeltildi.
“Tam olarak bu tür saldırılara karşı koruma sağlamak için yol geçiş korumaları zaten mevcuttu, ancak o sırada kullanımda olan yerleşik web sunucusu tarafından desteklenmeyen UTF-16 karakterleri için standart olmayan bazı URL kodlamalarına karşı koruma sağlayamadı.” ,” bakımcılar söz konusu ayrıntılı bir danışma belgesinde.
“Gömülü web sunucusunun daha sonraki bir yükseltmesi, UTF-16 karakterlerinin standart dışı URL kodlaması için destek içeriyordu. Openfire’da uygulanan yol geçiş korumaları, bu yeni kodlamaya karşı korumayı içerecek şekilde güncellenmedi.”
Sonuç olarak, bir tehdit aktörü bu zayıflığı kötüye kullanarak yönetici konsolu sayfalarına yönelik kimlik doğrulama gereksinimlerini atlayabilir. Güvenlik açığı o zamandan beri aktif sömürü vahşi doğadaKinsing (aka Money Libra) kripto botnet kötü amaçlı yazılımıyla ilişkili saldırganlar da dahil.
Siber güvenlik firması tarafından gerçekleştirilen Shodan taraması, internet üzerinden erişilebilen 6.300’den fazla Openfire sunucusunun yaklaşık %50’sinin açık kaynaklı XMPP çözümünün etkilenen sürümlerini çalıştırdığını ortaya koyuyor.
Sırasında kamu istismarları Bir yönetici kullanıcı oluşturmak, oturum açmak ve ardından kod yürütmeyi gerçekleştirmek için bir eklenti yüklemek için güvenlik açığından yararlanan VulnCheck, bunu bir yönetici hesabı oluşturmaya gerek kalmadan yapmanın mümkün olduğunu, bunun da onu daha gizli ve tehdit aktörleri için daha çekici hale getirdiğini söyledi.
Güvenlik araştırmacısı Jacob Baines, mevcut açıkların işleyiş biçimini detaylandırarak bunların “Openfire Eklentileri arayüzüne erişim kazanmak için bir yönetici kullanıcı oluşturmayı” içerdiğini söyledi.
“Eklenti sistemi, yöneticilerin, yüklenen Java JAR’lar aracılığıyla Openfire’a az çok isteğe bağlı işlevsellik eklemesine olanak tanır. Bu, çok açık bir şekilde, kimlik doğrulama atlamasından uzaktan kod yürütmeye geçiş için bir yerdir.”
Öte yandan, VulnCheck tarafından geliştirilen geliştirilmiş, daha az gürültülü yöntem, ‘plugin-admin.jsp’ adlı bir sayfaya erişerek ve ardından bir POST isteği aracılığıyla JAR eklentisini yükleyerek JSESSIONID ve CSRF belirtecini çıkaran kullanıcısız bir yaklaşım kullanır. .
Baines, “Kimlik doğrulama olmadan eklenti kabul edilir ve yüklenir” dedi. “Daha sonra web kabuğuna, geçiş kullanılarak kimlik doğrulaması yapılmadan erişilebilir.”
“Bu yaklaşım, oturum açma denemelerini güvenlik denetim günlüğünün dışında tutuyor ve ‘yüklenen eklenti’ bildiriminin kaydedilmesini engelliyor. Bu oldukça önemli çünkü güvenlik denetim günlüğünde hiçbir kanıt bırakmıyor.”
Şirket, kötü amaçlı bir şeyin yaklaştığını gösteren tek işaretin, bir saldırganın CVE-2023-32315’i kullanarak silebileceği openfire.log dosyasında yakalanan günlükler olduğunu söyledi.
Bu güvenlik açığının gerçek dünya saldırılarında halihazırda istismar edildiği göz önüne alındığında, kullanıcıların potansiyel tehditlere karşı güvenlik sağlamak için en son sürümlere hızla güncelleme yapmaları önerilir.
