Des milliers de Serveurs Openfire XMPP ne sont pas corrigés contre une faille de haute gravité récemment révélée et sont susceptibles de faire l’objet d’un nouvel exploit, selon un nouveau rapport de VulnCheck.
Suivi comme CVE-2023-32315 (score CVSS : 7,5), la vulnérabilité est liée à une vulnérabilité de traversée de chemin dans la console d’administration d’Openfire qui pourrait permettre à un attaquant non authentifié d’accéder à des pages autrement restreintes réservées aux utilisateurs privilégiés.
Cela affecte toutes les versions du logiciel publiées depuis avril 2015, à commencer par la version 3.10.0. Il a été corrigé par son développeur, Ignite Realtime, plus tôt en mai avec la sortie des versions 4.6.8, 4.7.5 et 4.8.0.
« Des protections contre la traversée de chemin étaient déjà en place pour protéger contre exactement ce type d’attaque, mais ne protégeaient pas contre certains codages d’URL non standard pour les caractères UTF-16 qui n’étaient pas pris en charge par le serveur Web intégré utilisé à l’époque. “, les responsables dit dans un avis détaillé.
“Une mise à niveau ultérieure du serveur Web intégré incluait la prise en charge du codage URL non standard des caractères UTF-16. Les protections contre la traversée de chemin en place dans Openfire n’ont pas été mises à jour pour inclure une protection contre ce nouveau codage.”
En conséquence, un acteur malveillant pourrait exploiter cette faiblesse pour contourner les exigences d’authentification des pages de la console d’administration. La vulnérabilité est depuis tombée sous exploitation active dans la naturey compris par des attaquants associés au malware botnet cryptographique Kinsing (alias Money Libra).
Une analyse Shodan menée par la société de cybersécurité révèle que sur plus de 6 300 serveurs Openfire accessibles sur Internet, environ 50 % d’entre eux exécutent des versions concernées de la solution open source XMPP.
Alors que exploits publics ont exploité la vulnérabilité pour créer un utilisateur administratif, se connecter, puis télécharger un plugin pour réaliser l’exécution de code, VulnCheck a déclaré qu’il était possible de le faire sans avoir à créer un compte administrateur, ce qui le rend plus furtif et attrayant pour les acteurs malveillants.
Élaborant sur le mode opératoire des exploits existants, le chercheur en sécurité Jacob Baines a déclaré qu’ils impliquent “la création d’un utilisateur administrateur pour accéder à l’interface des plugins Openfire”.
“Le système de plugins permet aux administrateurs d’ajouter, plus ou moins, des fonctionnalités arbitraires à Openfire via des JAR Java téléchargés. Il s’agit bien évidemment d’un endroit pour passer du contournement de l’authentification à l’exécution de code à distance.”
La méthode améliorée et moins bruyante conçue par VulnCheck, quant à elle, utilise une approche sans utilisateur qui extrait le jeton JSESSIONID et CSRF en accédant à une page appelée « plugin-admin.jsp », puis en téléchargeant le plugin JAR via une requête POST. .
“Sans authentification, le plugin est accepté et installé”, a déclaré Baines. “Le shell Web est alors accessible, sans authentification, à l’aide de la traversée.”
“Cette approche exclut les tentatives de connexion du journal d’audit de sécurité et empêche l’enregistrement de la notification ‘plugin téléchargé’. C’est un gros problème car cela ne laisse aucune preuve dans le journal d’audit de sécurité.”
Les seuls signes révélateurs d’un événement malveillant sont les journaux capturés dans le fichier openfire.log, qu’un adversaire pourrait supprimer en utilisant CVE-2023-32315, a indiqué la société.
La vulnérabilité étant déjà exploitée dans des attaques réelles, il est recommandé aux utilisateurs de procéder rapidement à la mise à jour vers les dernières versions pour se protéger contre les menaces potentielles.