3,000 Openfire Servers Exposed to Attacks Targeting Recent Vulnerability
2023/08/23 SecurityWeek — Openfire の脆弱性 CVE-2023-32315 に対するパッチが適用されていない、3,000台以上のサーバに対する新たな悪用方法により、その多くが攻撃にさらされていることが、VulnCheck の報告で明らかになった。Ignite Realtime が管理する Openfire は、XMPP プロトコルを使用し、Javaで書かれた、クロスプラットフォームのリアルタイム・コラボレーション・サーバであり、Web インターフェイスによる管理をサポートしている。
この深刻な脆弱性 CVE-2023-32315 は、Openfireの管理コンソールで発見されたものであり、セットアップ環境経由のパストラバーサルのバグとして説明されている。したがって、未認証の攻撃者に対して、管理コンソールの制限されたページへのアクセスを許すことになる。
この問題は、Web サーバでサポートされていない UTF-16 文字による非標準 URL エンコーディングに対して、Openfire のパス・トラバーサル・プロテクションによる保護が不十分なことに起因する。
2015年4月にリリースされたバージョン 3.10.0 から、この脆弱性を修正するために 2023年5月にリリースされたバージョン 4.7.5/4.6. 8までの、すべての Openfire が影響を受ける。
いまから2ヶ月以上も前から、この脆弱性は攻撃で悪用されている。攻撃の背後にいる脅威アクターは、新しい管理コンソール・ユーザー・アカウントを不正に作成し、リモート Web シェルを取り込んだ新しいプラグインをインストールすることで、任意のコマンドを実行し、サーバ上の全データにアクセスしていることが確認されている。
この脆弱性 CVE-2023-32315 を標的とする、さまざまな PoC エクスプロイトが公開され、すでに利用可能であるが、いずれも同じパターンを踏襲している。しかし、今回の VulnCheck の発見は、管理者ユーザー・アカウントを作成する必要のない、新たなエクスプロイト・パスだとされる。
同社によると、インターネットからアクセス可能な、6,300台以上の Openfire サーバを特定したが、その約半数は、脆弱性に対するパッチ適用済み/脆弱性のない旧バージョン/影響を受けない可能性のあるフォーク版であるという。
VulnCheck は、「インターネットからアクセスできる Openfire サーバの約 50% が、影響を受けるバージョンを使用していることになる。わずか数千台のサーバではあるが、このチャット・クライアントに関連する、信頼されたサーバの地位を考えれば、十分な数である」と指摘している。
この脆弱性の悪用に成功した未認証の攻撃者は、プラグイン管理エンドポイントへのアクセスを達成するため、プラグインを直接にアップロードし、認証なしで Web シェルにアクセスできるようになると、同社は説明している。
VulnCheck は、「この方法により、ログイン試行がセキュリティ監査ログに記録されないため、”uploaded plugin” という通知が記録されなくなる。セキュリティ監査ログに証拠が残らないため、これはかなり大きな問題だ」と説明している。
この悪意のアクティビティは、openfire.log ファイルで確認できるかもしれないが、攻撃者はパス・トラバーサルを使って、Web シェル経由でログを削除できるため、そのプラグイン自体の存在が、唯一の侵害指標となるはずだと、同社は警告している。
VulnCheck は、「この脆弱性は、有名なボットネットにより、すでに悪用されている可能性がある。これらのインターネットに面したシステムには、脆弱性が多数存在するため、今後も悪用が続くと思われる」と結論付けている。
Wikipedia で調べたところ、Openfire は XMPP (Extensible Messaging and Presence Protocol) 用の IM/Chat サーバであり、Java で書かれ、Apache License 2.0 でライセンスされているとのことです。このプロジェクトは 2002 年頃に開始され、2005 年に Wildfire に名前が変更されましたが、商標の問題により Openfire に名前が変更されたとのことです。きっと、IM/Chat の世界の、Zimbra のような位置づけなのだろうと思います。
IoT OT Security News 
You must be logged in to post a comment.