0
0
O grupo de crimes cibernéticos Kinsing está de volta com um novo vetor de ataque: atacar uma falha de passagem de caminho divulgada anteriormente no aplicativo de mensagens corporativas Openfire para criar usuários administradores não autenticados. A partir daí, eles ganham controle total dos servidores em nuvem Openfire e podem enviar o malware e um criptominerador Monero para plataformas comprometidas.
Pesquisadores do Aqua Nautilus observaram mais de 1.000 ataques em menos de dois meses que exploram a vulnerabilidade Openfire, CVE-2023-32315, que foi divulgada e corrigida em maio, revelaram em uma postagem no blog esta semana. No entanto, na semana passada, a CISA adicionou a falha ao seu catálogo de vulnerabilidades exploradas conhecidas.
Openfire é um servidor de colaboração em tempo real (RTC) baseado na Web usado como plataforma de bate-papo sobre XMPP que suporta mais de 50.000 usuários simultâneos. Por design, deveria ser uma forma segura e segmentada para os usuários corporativos se comunicarem entre departamentos e locais de trabalho remotos.
A falha, no entanto, torna o console administrativo do Openfire vulnerável a ataques de path traversal através de seu ambiente de configuração, permitindo que um usuário regular não autenticado acesse páginas no console reservadas para usuários administrativos.
Os invasores têm feito exatamente isso, autenticando-se como administradores para fazer upload de plug-ins maliciosos e, eventualmente, assumir o controle do servidor Openfire para fins de mineração de criptografia, de acordo com Aqua Nautilus. Kinsing é um malware baseado em Golang, mais conhecido por ser direcionado ao Linux ; no entanto, os pesquisadores da Microsoft observaram recentemente uma evolução em suas táticas para migrar para outros ambientes .
“Esta campanha Kinsing explora a vulnerabilidade, diminui o tempo de execução do malware Kinsing e um criptominerador, [e] tenta escapar da detecção e ganhar persistência”, escreveram o analista de dados de segurança Aqua Nautilus Nitzan Yaakov e o analista de dados líder Assaf Morag no post.
Detalhes técnicos sobre ataques Kinsing no OpenFire
Os pesquisadores do Aqua Nautilus criaram um honeypot Openfire no início de julho que, segundo eles, foi imediatamente direcionado, com 91% dos ataques atribuídos à campanha Kinsing. Especificamente, eles descobriram dois tipos de ataques, o mais comum dos quais implanta um shell da Web e permite ao invasor baixar malware e criptomineradores Kinsing. Na verdade, assumir o controle de servidores em nuvem para fins de criptomineração tem sido uma marca registrada do grupo Kinsing.
Nos ataques mais recentes do Kinsing, os agentes da ameaça exploram a vulnerabilidade para criar um novo usuário administrador e carregar um plug-in, cmd.jsp, que foi projetado para implantar a carga útil do malware Kinsing. Feito isso, os invasores prosseguem com um processo de autenticação válido para o painel de administração do Openfire, obtendo acesso completo como usuário administrador autenticado e, finalmente, dando-lhes liberdade sobre o aplicativo e o servidor no qual ele está sendo executado.
Em seguida, os invasores carregam uma exploração do Metasploit em um arquivo .ZIP, que estende o plug-in para permitir solicitações HTTP à sua disposição, permitindo-lhes baixar o Kinsing, que está codificado no plug-in, disseram os pesquisadores.
O malware então se comunica com comando e controle e baixa um script de shell como uma carga secundária que cria persistência no servidor, permitindo atividades de ataque adicionais, que incluem a implantação de um criptominerador Monero.
O segundo ataque, menos prevalente, que os pesquisadores observaram em seu honeypot envolve a mesma exploração do Metasploit. No entanto, até agora os invasores usaram esse vetor apenas para coletar informações do sistema e não prosseguiram, disseram os pesquisadores.
Como as empresas podem proteger o ambiente OpenFire?
Uma pesquisa no Shodan revelou 6.419 servidores conectados à Internet com o serviço Openfire em execução, 5.036 dos quais estavam acessíveis. Destes, 984, ou 19,5%, eram vulneráveis à falha CVE-2023-32315; estes estão localizados principalmente nos EUA, China e Brasil.
No entanto, poderia haver muito mais sistemas em risco, devido a invasores que obtêm acesso ao ambiente de outras maneiras. Aqua Nautilus está pedindo aos administradores de qualquer sistema corporativo com Openfire implantado que identifiquem se sua instância é vulnerável e corrijam e protejam conforme apropriado. Para ajudar a fazer isso, os pesquisadores forneceram capturas de tela que mostram seu próprio processo de validação na postagem do blog.
As empresas também devem evitar o uso de configurações padrão e garantir que as senhas sigam as melhores práticas, com uma atualização regular de segredos e senhas para reforçar ainda mais a segurança dos ambientes.
Além disso, uma vez que os agentes de ameaças estão progressivamente a refinar as suas tácticas e a mascarar actividades maliciosas no que parecem ser operações legítimas, as empresas devem implementar soluções de detecção e resposta em tempo de execução para identificar anomalias e emitir alertas sobre actividades maliciosas, disseram os investigadores.
FONTE: DARKREADING