แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ Openfire เพื่อเข้ารหัสเซิร์ฟเวอร์

432/66 (IT) ประจำวันพฤหัสบดีที่ 28 กันยายน 2566

กลุ่มแฮกเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงสูงในเซิร์ฟเวอร์การส่งข้อความ Openfire เพื่อเข้ารหัสเซิร์ฟเวอร์ด้วย ransomware และปรับใช้ cryptominers โดย Openfire เป็น Java-based เซิร์ฟเวอร์แชทโอเพ่นซอร์ส (XMPP) ที่ใช้กันอย่างแพร่หลาย ที่มียอดดาวน์โหลดจำนวนกว่า 9 ล้านครั้ง และถูกใช้อย่างกว้างขวางเพื่อการสื่อสารหลายแพลตฟอร์ม ที่ถูกกำหนดหมายเลขช่องโหว่ CVE-2023-32315 ซึ่งเป็นการหลีกเลี่ยงการตรวจสอบสิทธิ์ที่ส่งผลกระทบต่อ console การดูแลระบบของ Openfire ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถจะสร้างบัญชีผู้ดูแลระบบใหม่บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Openfire ทุกเวอร์ชันตั้งแต่ 3.10.0 ตั้งแต่ปี 2015 จนถึงเวอร์ชัน 4.6.7 และตั้งแต่ 4.7.0 ถึง 4.7.4 และแม้ว่า Openfire จะได้แก้ไขช่องโหว่ด้วยเวอร์ชัน 4.6.8, 4.7.5 และ 4.8.0 ที่เปิดตัวไปเมื่อเดือนพฤษภาคม พ.ศ. 2023แล้ว แต่ VulnCheck ได้รายงานว่าเมื่อกลางเดือนสิงหาคม พ.ศ. 2023 เซิร์ฟเวอร์ Openfire กว่า 3,000 เครื่องยังมีการใช้งานเวอร์ชันที่มีช่องโหว่    

โดย BleepingComputer พบการรายงานหลายฉบับจากลูกค้าที่กล่าวว่าเซิร์ฟเวอร์ Openfire ของพวกเขาได้ถูกเข้ารหัสด้วย ransomware ซึ่งยังไม่มีความชัดเจนว่ากลุ่ม ransomware ใด อยู่เบื้องหลังการโจมตีเหล่านี้และดูเหมือนว่าผู้โจมตีไม่ได้มุ่งเป้าไปที่เซิร์ฟเวอร์ Openfire อย่างเดียวแต่รวมถึงเว็บเซิร์ฟเวอร์ที่มีช่องโหว่อื่นด้วยดังนั้นควรทำการอัปเดตความปลอดภัยทั้งหมดสำหรับเซิร์ฟเวอร์ให้พร้อมอยู่เสมอ

แหล่งข่าว https://www.bleepingcomputer.com/news/security/hackers-actively-exploiting-openfire-flaw-to-encrypt-servers/