Falha do Openfire encontra-se a ser usada para encriptar servidores desatualizados

Publicado em por

Falha do Openfire encontra-se a ser usada para encriptar servidores desatualizados

Os servidores Openfire encontram-se a ser o alvo mais recente de uma campanha de ataques, que estão a explorar falhas no software para encriptar os sistemas. Os atacantes encontram-se a explorar falhas em sistemas não atualizados com o software de mensagens Openfire, que são depois usados para encriptar os conteúdos com ransomware.

O Openfire é um popular cliente de chat XMPP, baseado em Java, que conta com mais de 9 milhões de downloads. É usado sobretudo por entidades que pretendem um formato de comunicação seguro e direto em diferentes plataformas. A falha, identificada como CVE-2023-32315, permite que os atacantes possam contornar os sistemas de autenticação no painel de administração, tendo praticamente acesso sem restrições ao sistema e servidor.

A falha encontra-se em servidores configurados desde a versão 3.10.0, datada de 2015, até à 4.6.7, bem como desde a 4.7.0 até à 4.7.4. Todos os sistemas que ainda se encontram em versões desatualizadas do software podem vir a ser comprometidos, e os atacantes encontram-se a analisar a internet por sistemas vulneráveis para tal.

Apesar de a falha ter sido corrigida com a versão 4.6.8, 4.7.5, e 4.8.0, que foram lançadas em Maio de 2023, os dados da empresa de segurança VulnCheck indicam que ainda existem mais de 3000 servidores afetados em versões antigas. A empresa Dr. Web agora reporta que estes sistemas encontram-se a ser alvo de campanhas diretas para explorar a falha, levando à encriptação de conteúdos e instalação de ransomware nos sistemas.

Os primeiros indícios dos ataques datam de Junho de 2023, e continuam até à presente data. Apesar de os dados serem encriptados com ransomware, desconhece-se qual a entidade por detrás dos ataques – sendo que os conteúdos encriptados não contam com um meio de identificação claro.

Como sempre, a primeira linha de defesa parte por os administradores dos sistemas atualizarem os seus servidores e programas para a versão mais recente, o que garante que se encontram protegidos contra este ataque.