Miles de servidores Openfire XMPP no están parcheados contra una falla de alta gravedad recientemente revelada y son susceptibles a un nuevo exploit, según un nuevo informe de VulnCheck.
Registrada como CVE-2023-32315 (puntuación CVSS: 7,5), la vulnerabilidad se relaciona con una vulnerabilidad de recorrido de ruta en la consola administrativa de Openfire que podría permitir que un atacante no autenticado acceda a páginas restringidas reservadas para usuarios privilegiados.
Afecta a todas las versiones del software lanzadas desde abril de 2015, comenzando con la versión 3.10.0. Su desarrollador, Ignite Realtime, lo solucionó a principios de mayo con el lanzamiento de las versiones 4.6.8, 4.7.5 y 4.8.0.
«Ya existían protecciones de recorrido de ruta para proteger exactamente contra este tipo de ataque, pero no defendían contra cierta codificación de URL no estándar para caracteres UTF-16 que no eran compatibles con el servidor web integrado que estaba en uso en ese momento. «, dijeron los mantenedores en un aviso detallado.
«Una actualización posterior del servidor web incorporado incluyó soporte para codificación URL no estándar de caracteres UTF-16. Las protecciones de recorrido de ruta implementadas en Openfire no se actualizaron para incluir protección contra esta nueva codificación».
Como resultado, un actor de amenazas podría aprovechar esta debilidad para eludir los requisitos de autenticación para las páginas de la consola de administración. Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza , incluso por parte de atacantes asociados con el malware criptobotnet Kinsing (también conocido como Money Libra).
Un análisis de Shodan realizado por la empresa de ciberseguridad revela que de más de 6.300 servidores Openfire accesibles a través de Internet, aproximadamente el 50% de ellos ejecutan versiones afectadas de la solución XMPP de código abierto.
Si bien los exploits públicos han aprovechado la vulnerabilidad para crear un usuario administrativo, iniciar sesión y luego cargar un complemento para lograr la ejecución del código, VulnCheck dijo que es posible hacerlo sin tener que crear una cuenta de administrador, lo que lo hace más sigiloso y atractivo para los actores de amenazas. .
Al profundizar en el modus operandi de los exploits existentes, el investigador de seguridad Jacob Baines dijo que implican «crear un usuario administrador para obtener acceso a la interfaz de complementos de Openfire».
«El sistema de complementos permite a los administradores agregar, más o menos, funcionalidad arbitraria a Openfire a través de Java JAR cargados. Este es, muy obviamente, un lugar para pasar de la omisión de autenticación a la ejecución remota de código».
El método mejorado y menos ruidoso ideado por VulnCheck, por otro lado, emplea un enfoque sin usuario que extrae el token JSESSIONID y CSRF accediendo a una página llamada ‘plugin-admin.jsp’ y luego cargando el complemento JAR mediante una solicitud POST. .
«Sin autenticación, el complemento se acepta e instala», dijo Baines. «Luego se puede acceder al shell web, sin autenticación, mediante el recorrido».
«Este enfoque mantiene los intentos de inicio de sesión fuera del registro de auditoría de seguridad y evita que se registre la notificación de ‘complemento cargado’. Eso es bastante importante porque no deja evidencia en el registro de auditoría de seguridad».
Las únicas señales reveladoras de que algo malicioso está en marcha son los registros capturados en el archivo openfire.log, que un adversario podría eliminar utilizando CVE-2023-32315, dijo la compañía.
Dado que la vulnerabilidad ya se está explotando en ataques del mundo real, se recomienda que los usuarios actualicen rápidamente a las últimas versiones para protegerse contra posibles amenazas.
Fuente y redacción: thehackernews.com
