Cibercriminosos estão explorando ativamente uma vulnerabilidade de alta gravidade nos servidores de mensagens Openfire para criptografar servidores com ransomware e implantar criptomineradores. Openfire é um servidor de chat de código aberto baseado em Java, amplamente utilizado para comunicações seguras e multiplataforma.

O software já foi baixado 9 milhões de vezes. A falha, identificada como CVE-2023-32315, é um bypass de autenticação que afeta o console de administração do Openfire, permitindo que atacantes não autenticados criem novas contas de administrador em servidores vulneráveis.

Utilizando essas contas, os atacantes instalam plugins Java maliciosos que executam comandos recebidos via solicitações HTTP GET e POST. A vulnerabilidade afeta todas as versões do Openfire de 3.10.0 a 4.6.7 e de 4.7.0 a 4.7.4.

Os atacantes exploraram a falha para criar um novo usuário administrador no Openfire, efetuaram login e instalaram um plugin malicioso que pode executar código arbitrário.

Além do ransomware, os atacantes também implantaram trojans de mineração de criptomoedas e backdoors em servidores comprometidos. Os pesquisadores observaram um total de quatro cenários de ataque distintos, tornando imperativo a aplicação das atualizações de segurança disponíveis.