{"id":918475,"date":"2023-08-24T10:13:31","date_gmt":"2023-08-24T10:13:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/miles-de-servidores-openfire-xmpp-sin-parches-aun-estan-expuestos-a-fallas-de-alta-gravedad\/"},"modified":"2023-08-24T10:13:35","modified_gmt":"2023-08-24T10:13:35","slug":"miles-de-servidores-openfire-xmpp-sin-parches-aun-estan-expuestos-a-fallas-de-alta-gravedad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/miles-de-servidores-openfire-xmpp-sin-parches-aun-estan-expuestos-a-fallas-de-alta-gravedad\/","title":{"rendered":"Miles de servidores Openfire XMPP sin parches a\u00fan est\u00e1n expuestos a fallas de alta gravedad"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de agosto de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Ciberataque \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Miles de Servidores Openfire XMPP<\/a> no est\u00e1n parcheados contra una falla de alta gravedad recientemente revelada y son susceptibles a un nuevo exploit, seg\u00fan un nuevo reporte<\/a> de VulnCheck.<\/p>\n

Seguimiento como CVE-2023-32315<\/strong><\/a> (Puntuaci\u00f3n CVSS: 7,5), la vulnerabilidad se relaciona con una vulnerabilidad de recorrido de ruta en la consola administrativa de Openfire que podr\u00eda permitir que un atacante no autenticado acceda a p\u00e1ginas restringidas reservadas para usuarios privilegiados.<\/p>\n

Afecta a todas las versiones del software lanzadas desde abril de 2015, comenzando con la versi\u00f3n 3.10.0. Su desarrollador, Ignite Realtime, lo solucion\u00f3 a principios de mayo con el lanzamiento de las versiones 4.6.8, 4.7.5 y 4.8.0.<\/p>\n

“Ya exist\u00edan protecciones de recorrido de ruta para proteger exactamente contra este tipo de ataque, pero no defend\u00edan contra cierta codificaci\u00f3n de URL no est\u00e1ndar para caracteres UTF-16 que no eran compatibles con el servidor web integrado que estaba en uso en ese momento. “, los mantenedores dicho<\/a> en un aviso detallado.<\/p>\n

\"La<\/a><\/center><\/section>\n

“Una actualizaci\u00f3n posterior del servidor web incorporado incluy\u00f3 soporte para codificaci\u00f3n URL no est\u00e1ndar de caracteres UTF-16. Las protecciones de recorrido de ruta implementadas en Openfire no se actualizaron para incluir protecci\u00f3n contra esta nueva codificaci\u00f3n”.<\/p>\n

Como resultado, un actor de amenazas podr\u00eda aprovechar esta debilidad para eludir los requisitos de autenticaci\u00f3n para las p\u00e1ginas de la consola de administraci\u00f3n. Desde entonces, la vulnerabilidad se ha reducido explotaci\u00f3n activa<\/a> En la naturaleza<\/a>incluso por atacantes asociados con el malware de botnet criptogr\u00e1fico Kinsing (tambi\u00e9n conocido como Money Libra).<\/p>\n

Un an\u00e1lisis de Shodan realizado por la empresa de ciberseguridad revela que de los m\u00e1s de 6.300 servidores Openfire accesibles a trav\u00e9s de Internet, aproximadamente el 50% de ellos ejecutan versiones afectadas de la soluci\u00f3n XMPP de c\u00f3digo abierto.<\/p>\n

\"Servidores<\/div>\n

Mientras haza\u00f1as p\u00fablicas<\/a> han aprovechado la vulnerabilidad para crear un usuario administrativo, iniciar sesi\u00f3n y luego cargar un complemento para lograr la ejecuci\u00f3n del c\u00f3digo, VulnCheck dijo que es posible hacerlo sin tener que crear una cuenta de administrador, lo que lo hace m\u00e1s sigiloso y atractivo para los actores de amenazas.<\/p>\n

Al profundizar en el modus operandi de los exploits existentes, el investigador de seguridad Jacob Baines dijo que implican “crear un usuario administrador para obtener acceso a la interfaz de complementos de Openfire”.<\/p>\n

“El sistema de complementos permite a los administradores agregar, m\u00e1s o menos, funcionalidad arbitraria a Openfire a trav\u00e9s de Java JAR cargados. Este es, muy obviamente, un lugar para pasar de la omisi\u00f3n de autenticaci\u00f3n a la ejecuci\u00f3n remota de c\u00f3digo”.<\/p>\n

\"La<\/a><\/center><\/section>\n

El m\u00e9todo mejorado y menos ruidoso ideado por VulnCheck, por otro lado, emplea un enfoque sin usuario que extrae el token JSESSIONID y CSRF accediendo a una p\u00e1gina llamada ‘plugin-admin.jsp’ y luego cargando el complemento JAR mediante una solicitud POST. .<\/p>\n

“Sin autenticaci\u00f3n, el complemento se acepta e instala”, dijo Baines. “Luego se puede acceder al shell web, sin autenticaci\u00f3n, mediante el recorrido”.<\/p>\n

“Este enfoque mantiene los intentos de inicio de sesi\u00f3n fuera del registro de auditor\u00eda de seguridad y evita que se registre la notificaci\u00f3n de ‘complemento cargado’. Eso es bastante importante porque no deja evidencia en el registro de auditor\u00eda de seguridad”.<\/p>\n

Las \u00fanicas se\u00f1ales reveladoras de que algo malicioso est\u00e1 en marcha son los registros capturados en el archivo openfire.log, que un adversario podr\u00eda eliminar utilizando CVE-2023-32315, dijo la compa\u00f1\u00eda.<\/p>\n

Dado que la vulnerabilidad ya se est\u00e1 explotando en ataques del mundo real, se recomienda que los usuarios actualicen r\u00e1pidamente a las \u00faltimas versiones para protegerse contra posibles amenazas.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n