Chinesische Angreifer nutzen Schwachstelle in Openfire Chatservern aus

Chinesische Cyber-Akteure haben sich die Schwachstelle CVE-2023-32315 zunutze gemacht, um bösartige Plugins hochzuladen und Zugriff auf Server zu erlangen, die Openfire ausführen. Openfire ist ein Open-Source-Chatserver mit über 10 Mio Installationen weltweit, der besonders häufig von Organisationen zur Internen Kommunikation genutzt wird und daher ein Ideales Vehikel für für die chinesischen Thread Actors darstellt, die bereits erfolgreich über 70 Organisationen in 23 Ländern über diesen Einstiegspunkt infiltriert haben.

Die besagte Schwachstelle erlaubt nicht autorisierten Benutzern, die unauthentifizierte Openfire-Setup-Umgebung innerhalb einer etablierten Konfiguration zu kompromittieren. Indem sie diese Lücke ausnutzen, können Angreifer in Admin-Setup-Dateien eindringen, die normalerweise nur über die Openfire Admin-Konsole zugänglich sind. Dies kann zu schwerwiegenden Aktionen führen, wie dem Hinzufügen eines Admin-Benutzers zur Konsole oder dem Ausführen beliebigen Codes auf dem Server.

Erstmals im Juni 2023 beobachtet, wurde diese Ausnutzung der Schwachstelle bereits in realen Angriffen durch chinesische Bedrohungsakteure eingesetzt. Dabei wurde der Angriffsprozess so optimiert, dass er keine Einträge in den Protokollen erzeugt, was die Entdeckung erschwert.

Openfire hat reagiert und aktualisierte Versionen (4.6.8, 4.7.5, 4.8.0) veröffentlicht, um die Schwachstelle zu beheben. Benutzern wird dringend empfohlen, schnellstmöglich auf diese Versionen zu aktualisieren, um ihre Server zu sichern.

Angesichts der aktiven Ausnutzung der CVE-2023-32315-Schwachstelle durch chinesische Akteure ist es für Benutzer von Openfire von größter Bedeutung, sofortige Maßnahmen zum Schutz ihrer Server zu ergreifen. Dazu zählen die Anwendung der verfügbaren Patches und das Upgrade auf die neuesten Versionen.