Doctor Webは、メッセージングサーバー「Openfire」の悪意のあるプラグインの拡散について注意を呼びかけています。本記事掲載時点で、Openfireソフトウェアのインストールされている3千台を超えるサーバーが世界中で脆弱性の影響を受けています。この脆弱性は、ハッカーがファイルシステムにアクセスし、感染したサーバーをボットネットの一部として使用することを可能にするものです。
###
2023年6月、Doctor Webは攻撃者によってサーバー上のファイルが暗号化されたというインシデントについて、カスタマーから連絡を受けました。調査の結果、この感染はメッセージングソフトウェアOpenfireの脆弱性 CVE-2023-32315 が悪用された結果であるということが明らかになりました。この脆弱性の悪用によってディレクトリトラバーサル攻撃が実行され、Openfireソフトウェアの管理インターフェースへの不正アクセスが可能になります。攻撃者は管理インターフェースを使用して管理権限を持つ新規ユーザーを作成します。次に、新しく作成したアカウントを使用してログインし、任意のコードを実行できる悪意のあるプラグイン helloworld-openfire-plugin-assembly.jar (SHA1:41d224784242151825aa8001a35ee339a0fef2813f)をインストールします。このプラグインはOpenfireソフトウェアがインストールされているサーバー上でシェルコマンドを実行したり、Javaで記述されたコードを実行してPOSTリクエストでプラグインに送信したりすることを可能にします。今回のインシデントでは、まさにこの方法でサーバー上で暗号化トロイの木馬が起動されていました。
詳細は以下をご覧ください。
(リンク »)
2023年6月、Doctor Webは攻撃者によってサーバー上のファイルが暗号化されたというインシデントについて、カスタマーから連絡を受けました。調査の結果、この感染はメッセージングソフトウェアOpenfireの脆弱性 CVE-2023-32315 が悪用された結果であるということが明らかになりました。この脆弱性の悪用によってディレクトリトラバーサル攻撃が実行され、Openfireソフトウェアの管理インターフェースへの不正アクセスが可能になります。攻撃者は管理インターフェースを使用して管理権限を持つ新規ユーザーを作成します。次に、新しく作成したアカウントを使用してログインし、任意のコードを実行できる悪意のあるプラグイン helloworld-openfire-plugin-assembly.jar (SHA1:41d224784242151825aa8001a35ee339a0fef2813f)をインストールします。このプラグインはOpenfireソフトウェアがインストールされているサーバー上でシェルコマンドを実行したり、Javaで記述されたコードを実行してPOSTリクエストでプラグインに送信したりすることを可能にします。今回のインシデントでは、まさにこの方法でサーバー上で暗号化トロイの木馬が起動されていました。
詳細は以下をご覧ください。
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
