Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers exploram a vulnerabilidade do Openfire para implantar malware Kinsing

O malware Kinsing ressurgiu com um novo método de ataque que explora a vulnerabilidade Openfire rastreada como CVE-2023-32315. Um ataque de passagem de caminho causado por esta vulnerabilidade permite que um usuário não autorizado acesse o ambiente de configuração do Openfire.

Pesquisadores do Aqua Nautilus relatam que o agente da ameaça pode carregar plug-ins maliciosos e criar um novo usuário administrador como resultado disso. O invasor eventualmente terá controle total do servidor.

Openfire √© um servidor de colabora√ß√£o em tempo real (RTC) que serve como plataforma de chat para transmiss√£o de mensagens instant√Ęneas atrav√©s do XMPP (Extensible Messaging and Presence Protocol).

Foi descoberto em maio deste ano e tem como objetivo atuar como um servidor interno de mensagens instant√Ęneas para empresas, suportando mais de 50.000 usu√°rios simult√Ęneos e dando-lhes acesso a um canal seguro para intera√ß√£o departamental.

Fluxo de ataque da campanha Kinsing

Esta campanha Kinsing faz uso da falha, injeta malware Kinsing em tempo de execução e um minerador de criptografia, trabalha para evitar a detecção e busca estabelecer persistência.

O agente da ameaça verifica a Internet em busca de servidores Openfire e, assim que um servidor é identificado, ele é imediatamente verificado para ver se é suscetível ao CVE-2023-32315.

‚ÄúNesta campanha, o ator da amea√ßa usa a vulnerabilidade para criar um novo usu√°rio administrador e fazer upload de um plugin (cmd.jsp), que foi projetado para implantar a carga √ļtil principal ‚Äď malware Kinsing‚ÄĚ, pesquisadores disseram.

O agente da ameaça pode então concluir com sucesso o procedimento de autenticação para o Painel de Administração Openfire e adquirir acesso total como um usuário autenticado assim que o novo usuário for formado com sucesso.

N√≥s recomendamos:  WhatsApp, muitos usu√°rios prontos para abandonar o bate-papo ap√≥s esta not√≠cia

Além disso, o autor da ameaça recebe maior acesso ao sistema porque a pessoa foi adicionada como administrador.

O agente da ameaça então carrega um plug-in malicioso, permitindo comandos web shell no servidor.

‚ÄúO agente da amea√ßa carrega um arquivo zip que √© uma explora√ß√£o do Metasploit destinada a estender o cmd.jsp para permitir solicita√ß√Ķes HTTP √† disposi√ß√£o do agente da amea√ßa. Isso permite baixar o malware Kinsing que est√° codificado no plugin‚ÄĚ, explicam os pesquisadores.

Em menos de dois meses, os pesquisadores viram mais de mil ataques que aproveitam a vulnerabilidade do Openfire.

Recomendação

√Č aconselh√°vel aumentar a sua compreens√£o e dar maior prioridade √† prote√ß√£o dos recursos.

  • Mantenha seu ambiente atualizado
  • Configure ambientes diligentemente
  • Execute varreduras ambientais extensas em busca de amea√ßas desconhecidas.

Mantenha-se informado sobre as √ļltimas not√≠cias sobre seguran√ßa cibern√©tica seguindo-nos no not√≠cias do Google, Linkedin, Twittere Facebook.