Kinsing kötü amaçlı yazılımı, CVE-2023-32315 olarak izlenen Openfire güvenlik açığından yararlanan yeni bir saldırı yöntemiyle yeniden ortaya çıktı. Bu güvenlik açığının neden olduğu yol geçiş saldırısı, yetkisiz bir kullanıcının Openfire kurulum ortamına erişmesine olanak tanır.
Aqua Nautilus’tan araştırmacılar, tehdit aktörünün kötü amaçlı eklentiler yükleyebileceğini ve bunun sonucunda yeni bir yönetici kullanıcı oluşturabileceğini belirtiyor. Saldırgan sonunda sunucunun tam kontrolünü ele geçirir.
Openfire, XMPP (Genişletilebilir Mesajlaşma ve Durum Protokolü) üzerinden anlık mesajların iletilmesi için bir sohbet platformu görevi gören gerçek zamanlı bir işbirliği (RTC) sunucusudur.
İşletmeler için dahili bir IM sunucusu görevi görmesi, 50.000’den fazla eşzamanlı kullanıcıyı desteklemesi ve onlara departman etkileşimi için güvenli bir kanala erişim sağlaması amaçlanan bu yılın Mayıs ayında keşfedildi.
Kinsing Seferi Saldırı Akışı
Bu Kinsing kampanyası bu kusurdan yararlanıyor, çalışma zamanı Kinsing kötü amaçlı yazılımını ve bir kripto madencisini enjekte ediyor, tespit edilmekten kaçınmak için çalışıyor ve kalıcılık sağlamaya çalışıyor.
Tehdit aktörü internette Openfire sunucuları olup olmadığını kontrol eder ve bir sunucu tanımlandıktan sonra CVE-2023-32315’e duyarlı olup olmadığı hemen kontrol edilir.
Araştırmacılar, “Bu kampanyada tehdit aktörü, yeni bir yönetici kullanıcı oluşturmak ve ana yük olan Kinsing kötü amaçlı yazılımını dağıtmak için tasarlanmış bir eklentiyi (cmd.jsp) yüklemek için güvenlik açığını kullanıyor” dedi.
Tehdit aktörü daha sonra Openfire Yönetim Paneli için kimlik doğrulama prosedürünü başarıyla tamamlayabilir ve yeni kullanıcı başarıyla oluşturulduktan sonra kimliği doğrulanmış bir kullanıcı olarak tam erişim elde edebilir.
Ayrıca, kişi yönetici olarak eklendiğinden tehdit aktörüne sistem içinde daha fazla erişim hakkı verilir.
Tehdit aktörü daha sonra kötü amaçlı bir eklenti yükleyerek sunucuda web kabuğu komutlarını etkinleştirir.
“Tehdit aktörü, HTTP isteklerini tehdit aktörünün kullanımına sunacak şekilde cmd.jsp dosyasını genişletmeyi amaçlayan bir Metasploit istismarı olan bir zip dosyası yüklüyor. Bu, eklentide sabit kodlanmış olan Kinsing kötü amaçlı yazılımının indirilmesine olanak tanıyor”, diye açıklıyor araştırmacılar.
Araştırmacılar, iki aydan kısa bir süre içinde Openfire güvenlik açığından yararlanan binden fazla saldırı gördü.
Öneri
Anlayışınızı artırmanız ve kaynakların korunmasına daha yüksek öncelik vermeniz tavsiye edilir.
- Ortamınızı güncel tutun
- Ortamları özenle yapılandırın
- Bilinmeyen tehditlere karşı kapsamlı çevresel taramalar gerçekleştirin.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.