🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   

Hàng nghìn máy chủ Openfire XMPP trên internet chưa vá lỗ hổng CVE-2023-32315 có nguy cơ bị tấn công thực thi mã

25/08/2023

Theo một báo cáo mới từ VulnCheck, hàng ngàn máy chủ Openfire XMPP vẫn chưa được vá lỗ hổng có độ nghiêm trọng mức cao được tiết lộ gần đây và dễ bị khai thác tấn công.

Có định danh CVE-2023-32315 (điểm CVSS: 7.5), lỗ hổng liên quan đến lỗi path traversal trong giao diện quản trị của Openfire, có thể cho phép kẻ tấn công không được xác thực truy cập vào các trang bị hạn chế dành riêng cho người dùng đặc quyền.

Lỗ hổng ảnh hưởng đến tất cả các phiên bản phần mềm được phát hành kể từ tháng 4 năm 2015, bắt đầu từ phiên bản 3.10.0, và đã được khắc phục bởi nhà phát triển Ignite Realtime vào đầu tháng 5 này trong các phiên bản 4.6.8, 4.7.5 và 4.8.0.

Lỗ hổng đã bị tin tặc khai thác trong thực tế, bao gồm những kẻ tấn công liên quan đến phần mềm độc hại botnet tiền điện tử Kinsing (còn gọi là Money Libra).

Một cuộc kiểm tra trên Shodan do công ty bảo mật thực hiện cho thấy trong số hơn 6.300 máy chủ Openfire có thể truy cập thông qua internet, khoảng 50% trong số đó đang chạy các phiên bản bị ảnh hưởng bởi CVE-2023-32315.

VulnCheck cho biết việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công tải lên plugin để thực thi mã mà không cần phải tạo tài khoản quản trị viên, điều này khiến nó trở nên lén lút và có giá trị hơn đối với các tác nhân đe dọa.

Baines cho biết: “Không cần xác thực, plugin sẽ được chấp nhận và cài đặt”. "Sau đó, web shell có thể được truy cập mà không cần xác thực bằng cách lợi dụng path traversal".

"Phương pháp này giúp loại bỏ yêu cầu đăng nhập khỏi lịch sử (log) kiểm tra bảo mật và ngăn thông báo 'plugin đã tải lên' được ghi lại. Đây là một vấn đề khá lớn vì nó không để lại bằng chứng nào trong log kiểm tra bảo mật."

Công ty cho biết dấu hiệu nhận biết duy nhất cho thấy có điều gì đó độc hại đang diễn ra là log được lưu trong tệp openfire.log mà kẻ tấn công có thể xóa bằng cách sử dụng CVE-2023-32315.

Với việc lỗ hổng đã bị khai thác trong các cuộc tấn công trong thực tế, người dùng nên nhanh chóng cập nhật lên các phiên bản mới nhất để bảo vệ mình khỏi các mối đe dọa tiềm ẩn.

Nguồn: thehackernews.com.

scrolltop