Kinsing siber suç grubu yeni bir saldırı vektörüyle geri döndü: Kimliği doğrulanmamış yönetici kullanıcılar oluşturmak için Openfire kurumsal mesajlaşma uygulamasında daha önce açıklanan bir yol geçiş kusurunu yok ediyor. Buradan Openfire bulut sunucularının tam kontrolünü ele geçiriyorlar ve kötü amaçlı yazılımı ve Monero kripto madencisini tehlikeye atılmış platformlara yükleyebiliyorlar.
Aqua Nautilus’tan araştırmacılar, bu hafta bir blog yazısında, Mayıs ayında açıklanan ve yamalanan Openfire güvenlik açığı CVE-2023-32315’i kullanan iki aydan kısa bir süre içinde 1000’den fazla saldırı gözlemlediklerini açıkladılar. Ancak daha geçen hafta CISA, bu kusuru bilinen istismar edilen güvenlik açıkları listesine ekledi.
Openfire, 50.000’den fazla eşzamanlı kullanıcıyı destekleyen, XMPP üzerinden sohbet platformu olarak kullanılan, Web tabanlı bir gerçek zamanlı işbirliği (RTC) sunucusudur. Tasarım gereği, kurumsal kullanıcıların departmanlar ve uzak çalışma konumları arasında iletişim kurması için güvenli ve bölümlere ayrılmış bir yol olması gerekiyor.
Ancak bu kusur, Openfire’ın yönetim konsolunu kurulum ortamı yoluyla yapılan yol geçiş saldırılarına karşı savunmasız hale getirerek, kimliği doğrulanmamış, normal bir kullanıcının konsolda yönetici kullanıcılar için ayrılmış sayfalara erişmesine olanak tanıyor.
Aqua Nautilus’a göre saldırganlar, kötü amaçlı eklentiler yüklemek ve sonunda kripto madenciliği amacıyla Openfire sunucusunun kontrolünü ele geçirmek için kendilerini yönetici olarak doğrulayarak tam da bunu yapıyor. Kinsing, en çok Linux’u hedeflemesiyle bilinen Golang tabanlı bir kötü amaçlı yazılımdır; ancak Microsoft araştırmacıları yakın zamanda diğer ortamlara yönelme taktiklerinde bir evrim gözlemledi.
“Bu Kinsing kampanyası güvenlik açığından yararlanıyor, çalışma zamanındaki Kinsing kötü amaçlı yazılımını ve bir kripto madenciyi düşürüyor, [and] Aqua Nautilus güvenlik verileri analisti Nitzan Yaakov ve baş veri analisti Assaf Morag, gönderide şunları yazdı: “Tespitten kaçmaya ve kalıcılık kazanmaya çalışıyor.”
OpenFire’da Kinsing Saldırılarına İlişkin Teknik Detaylar
Aqua Nautilus araştırmacıları Temmuz ayının başında bir Açık Ateş balküpü oluşturdular ve saldırıların %91’inin Kinsing kampanyasına atfedildiğini ve hemen hedef alındığını söylediler. Spesifik olarak iki tür saldırı keşfettiler; en yaygın olanı bir Web kabuğu dağıtan ve saldırganın Kinsing kötü amaçlı yazılımlarını ve kripto madencilerini indirmesine olanak tanıyan saldırılardı. Gerçekten de, kripto madencilik amacıyla bulut sunucularını devralmak Kinsing grubunun ayırt edici özelliği olmuştur.
En son Kinsing saldırılarında, tehdit aktörleri yeni bir yönetici kullanıcı oluşturmak ve Kinsing kötü amaçlı yazılım yükünü dağıtmak için tasarlanmış cmd.jsp eklentisini yüklemek için bu güvenlik açığından yararlanıyor. Bu yapıldıktan sonra, saldırganlar Openfire Yönetim Paneli için geçerli bir kimlik doğrulama işlemine devam ederek, kimliği doğrulanmış bir yönetici kullanıcı olarak tam erişim elde eder ve sonuçta onlara uygulamanın ve üzerinde çalıştığı sunucunun kontrolünü serbest bırakır.
Araştırmacılar, daha sonra, saldırganların bir .ZIP dosyasına bir Metasploit istismarı yüklediklerini, bunun da eklentiyi http isteklerini ellerinde olacak şekilde genişleterek, eklentide sabit kodlanmış olan Kinsing’i indirmelerine olanak sağladığını söyledi.
Kötü amaçlı yazılım daha sonra komut ve kontrol ile iletişim kurar ve sunucuda kalıcılık yaratan ikincil bir yük olarak bir kabuk komut dosyası indirir ve Monero kripto madencisinin konuşlandırılmasını da içeren daha fazla saldırı etkinliğine izin verir.
Araştırmacıların bal küpünde gözlemlediği daha az yaygın olan ikinci saldırı, aynı Metasploit istismarını içeriyor. Ancak araştırmacılar, saldırganların şu ana kadar bu vektörü yalnızca sistem bilgilerini toplamak için kullandığını ve daha fazla ilerleme kaydetmediklerini söyledi.
İşletmeler OpenFire Ortamını Nasıl Güvenceye Alabilir?
Bir Shodan araması, Openfire hizmetinin çalıştığı, 5.036’sına erişilebilen 6.419 İnternet bağlantılı sunucuyu ortaya çıkardı. Bunlardan 984’ü veya %19,5’i CVE-2023-32315 kusuruna karşı savunmasızdı; bunlar esas olarak ABD, Çin ve Brezilya’da bulunmaktadır.
Ancak ortama başka yollarla erişim sağlayan saldırganlar nedeniyle çok daha fazla sistem risk altında olabilir. Aqua Nautilus, Openfire konuşlandırılmış herhangi bir kurumsal sistemin yöneticilerini, örneklerinin savunmasız olup olmadığını belirlemeye ve uygun şekilde yama yapıp güvenlik altına almaya çağırıyor. Bunu yapmaya yardımcı olmak için araştırmacılar blog yazısında kendi doğrulama süreçlerini gösteren ekran görüntüleri sağladılar.
Kuruluşlar ayrıca varsayılan ayarları kullanmaktan kaçınmalı ve ortamların güvenliğini daha da artırmak için hem sırların hem de parolaların düzenli olarak yenilenmesiyle parolaların en iyi uygulamalara uygun olmasını sağlamalıdır.
Ayrıca araştırmacılar, tehdit aktörlerinin taktiklerini giderek geliştirdikleri ve meşru gibi görünen operasyonlarda kötü niyetli faaliyetleri maskeledikleri için, kuruluşların anormallikleri tespit etmek ve kötü niyetli faaliyetler hakkında uyarılar vermek için çalışma zamanı tespit ve müdahale çözümleri kullanması gerektiğini söyledi.