数千台未修复 Openfire XMPP 服务器仍易受高危漏洞影响
编译:代码卫士
该漏洞影响自2015年4月发布的3.10.0以来的所有 Openfire 版本。该漏洞已由软件开发者 Ignite Realtime 在今年5月份发布的版本 4.6.8、4.7.5和4.8.0中修复。
维护人员在一份详细的安全公告中提到,“已部署路径遍历防护措施应对这类攻击,但并不防御某些UTF-16字符的非标准URL编码,这些字符不受当时使用的嵌入式 web 服务器的支持。嵌入式 web 服务器的后续升级包括支持对 UTF-16 字符的非标准 URL 编码。在 Openfire 中部署的路径遍历防护措施并未更新包含对该新编码的防护措施。”
因此,威胁行动者可滥用该弱点绕过对管理员控制台页面的认证要求。该漏洞已遭在野活跃利用,如遭与 Kinsing 密币僵尸网络恶意软件关联的攻击者的攻击等。
Shodan 搜索发现,超过6300台 Openfire 服务器可经由互联网访问,约50%的服务器在受影响的开源XMPP解决方案上运行。
虽然公开的exp 利用该漏洞创建管理员账户、登录并上传插件以实现代码执行,但 VulnCheck 表示可在无需创建管理员账户的前提下实现代码执行,使得攻击更为隐秘。
安全研究员 Jacob Baines 详细说明了现有 exp 的运营模式,表示,“创建管理员账户,获得对 Openfire Plugins 接口的访问权限。该插件系统可使管理员通过已上传的 Java JARs 向 Openfire 或多或少地增加任意功能。很显然这是从认证绕过转向远程代码执行的位置。”
VulnCheck 建议的噪音较少的方法是利用用户较少的方法,访问 “plugin-admin.jsp” 页面,提取 JSESSIONID 和 CSRF 令牌,接着通过 POST 请求上传 JAR 插件。Baines 指出,“在没有认证的情况下就会接受并安装该插件。之后可在无需认证的情况下通过该遍历漏洞,访问 web shell。这种方法将登录尝试离开审计日志并阻止‘已上传插件’通知被记录。由于它在安全审计日志中没有留下任何证据,因此非常重要。”该公司指出,觉察恶意行为的迹象是 openfire.log 文件中捕获的日志可被攻击者利用CVE-2023-32315删除。
鉴于该漏洞已遭实际利用,因此建议用户快速更新至最新版本,抵御潜在威胁。
未修复的 Apache Tomcat 服务器传播 Mirai 僵尸网络恶意软件
https://thehackernews.com/2023/08/thousands-of-unpatched-openfire-xmpp.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。