2023 年 9 月

Doctor Web通报用户Openfire消息服务器恶意插件正在传播。 截至本文发布时，全球范围内已有3,000多台运行Openfire软件的服务器受到漏洞影响，黑客可利用此漏洞访问文件系统并将被感染服务器变成僵尸网络中的节点。

2023 年 6 月有客户联系我公司，报告了一起攻击者加密服务器文件的安全事件。我公司技术人员进行调查过程中发现，感染利用了Openfire消息软件中的CVE-2023-32315漏洞。此进攻利用的是“目录遍历”类攻击，在没有进行身份认证的情况下访问Openfire软件的管理界面，被利用漏洞创建具有管理员权限的新用户。然后，攻击者使用新帐户登录并安装可执行任意代码的恶意插件helloworld-openfire-plugin-assembly.jar（SHA1：41d2247842151825aa8001a35ee339a0fef2813f）。此插件可在安装了 Openfire 软件的服务器上使用命令行执行解释器命令，并可运行通过POST请求发送到插件的Java语言代码。 正是利用这种方式一个勒索木马我公司客户服务器得以启动。

为提取到这一勒索软件的样本，我们创建了一个安装了Openfire软件的蜜罐服务器，并对其攻击进行了数周的监控。在此服务器运行期间，我们获取到三种不同恶意插件的样本。此外，提取到 Openfire软件被黑客攻陷后安装在服务器上的属于两个木马家族的木马。

第一个木马是用Go语言编写的挖矿软件，名称为 kinsing (Linux.BtcMine.546)。 使用此木马的攻击分四个阶段进行：

1. 利用漏洞CVE-2023-32315创建名为OpenfireSupport的管理帐户。
2. 使用创建的账号进行认证。
3. 在服务器安装恶意插件plugin.jar（SHA1:0c6249feee3fef50fc0a5a06299c3e81681cc838）。
4. 利用已安装的恶意插件下载并启动木马。

另一个攻击是在系统安装了用 C 语言编写并通过UPX 加壳程序打包的木马Linux.BackDoor.Tsunami.1395。 感染过程与上述过程基本相似，不同之处在于管理员账号使用随机名称和密码创建。

第三种情况最为特殊，攻击者并没有在系统安装木马，而是通过Openfire恶意插件获取被感染服务器的信息，包括网络连接、IP 地址、用户和系统内核版本的相关信息。

所有情况下安装的恶意插件都是用Java编写的后门JSP.BackDoor.8，可以攻击者发送GET和POST请求的形式执行不同指令。

Openfire 消息发送服务器的相关漏洞已在软件更新至版本 4.6.8 和 4.7.5中得到修复。我们建议使用更新后的版本。 如果无法使用更新后的版本，则需尽量缩小可能被攻击的可能：限制对端口 9090 和 9091 的网络访问、更改Openfire配置文件、将管理员控制台地址重定向到loopback接口或使用插件AuthFilterSanitizer。

Dr.Web反病毒软件能够成功侦测并解除后门JSP.BackDoor.8的变种以及Linux.BtcMine和Linux.BackDoor.Tsunami家族木马的威胁，因此这些恶意定向不会对我们的用户构成任何危险。

• 失陷指标
• JSP.BackDoor.8更多详情
• Linux.BtcMine更多详情
• Linux.BackDoor.Tsunami.1395更多详情