ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

メッセージングソフトウェア「Openfire」の脆弱性:侵害されたサーバーへの不正アクセスが可能に

2023年9月26日

株式会社Doctor Web Pacific


Doctor Webは、メッセージングサーバー「Openfire」の悪意のあるプラグインの拡散について注意を呼びかけています。本記事掲載時点で、Openfireソフトウェアのインストールされている3千台を超えるサーバーが世界中で脆弱性の影響を受けています。この脆弱性は、ハッカーがファイルシステムにアクセスし、感染したサーバーをボットネットの一部として使用することを可能にするものです。

2023年6月、Doctor Webは攻撃者によってサーバー上のファイルが暗号化されたというインシデントについて、カスタマーから連絡を受けました。調査の結果、この感染はメッセージングソフトウェアOpenfireの脆弱性 CVE-2023-32315 が悪用された結果であるということが明らかになりました。この脆弱性の悪用によってディレクトリトラバーサル攻撃が実行され、Openfireソフトウェアの管理インターフェースへの不正アクセスが可能になります。攻撃者は管理インターフェースを使用して管理権限を持つ新規ユーザーを作成します。次に、新しく作成したアカウントを使用してログインし、任意のコードを実行できる悪意のあるプラグイン helloworld-openfire-plugin-assembly.jarSHA1:41d224784242151825aa8001a35ee339a0fef2813f)をインストールします。このプラグインはOpenfireソフトウェアがインストールされているサーバー上でシェルコマンドを実行したり、Javaで記述されたコードを実行してPOSTリクエストでプラグインに送信したりすることを可能にします。今回のインシデントでは、まさにこの方法でサーバー上で暗号化トロイの木馬が起動されていました。

この暗号化マルウェアのサンプルを入手するため、Doctor WebではOpenfireハニーポットを構築し、それに対する攻撃を数週間にわたって監視しました。サーバーの稼働中に3つの異なる悪意のあるプラグインのサンプルを入手することに成功し、さらに、Openfireが侵害された後にサーバーにインストールされた2つのトロイの木馬のサンプルも入手しました。

1つ目のトロイの木馬は、Kinsing(Linux.BtcMine.546)として知られるGo言語で記述されたマイニング型トロイの木馬です。このトロイの木馬を使用した攻撃は、次の4つの段階で実行されます。

  1. 脆弱性 CVE-2023-32315 を悪用して「OpenfireSupport」という名前の管理者アカウントを作成
  2. 作成したユーザーで認証
  3. 悪意のあるプラグインplugin.jarSHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838)をサーバー上にインストール
  4. インストールされた悪意のあるプラグインを使用してトロイの木馬をダウンロードして起動

2つ目の攻撃シナリオでは、システムはC言語で記述されUPXでパックされたトロイの木馬 Linux.BackDoor.Tsunami.1395 に感染していました。感染プロセスは前述のものとほとんど同じですが、ランダムな名前とパスワードで管理者ユーザーが作成されているという点が異なっています。

最も興味深いのは3つ目のシナリオです。このシナリオでは、攻撃者はシステムにトロイの木馬をインストールする代わりに、悪意のあるOpenfireプラグインを使用して侵害されたサーバーに関する情報(特にネットワーク接続、IP アドレス、ユーザー、システムのカーネルバージョンに関する情報)を取得していました。

いずれのケースでも、インストールされる悪意のあるプラグインはJavaで書かれた JSP.BackDoor.8 バックドアです。これらのプラグインは、攻撃者によって送信されるGETリクエストやPOSTリクエスト形式でさまざまなコマンドを実行できます。

Openfireメッセージングサーバーの脆弱性 CVE-2023-32315 は、バージョン4.6.8および4.7.5へのアップデートで修正されています。Doctor Webでは、最新のバージョンにアップデートすることを推奨しています。アップデートを行えない場合は、ネットワークアクセスをポート9090および 9091に制限する、Openfire設定ファイルを変更する、管理コンソールのアドレスをループバックインターフェイスにリダイレクトする、またはAuthFilterSanitizerプラグインを使用するなどの方法で、攻撃対象領域を最小限にとどめるようにする必要があります。

Dr.Webアンチウイルス製品は JSP.BackDoor.8 バックドアの亜種、ならびにトロイの木馬 Linux.BtcMine および Linux.BackDoor.Tsunami を検出し駆除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments