cve-2023-32315 - RunkIntel

# CVE-2023-32315 > [!critical] Path traversal crítico no Openfire - explorado massivamente pelo malware Kinsing > Bypass de autenticação via path traversal no servidor Openfire XMPP. Permite acesso ao painel de administração sem credenciais para instalar plugins maliciosos com execução de código. Amplamente explorada pelo malware de mineração de cripto **Kinsing**. ## Visão Geral A [[cve-2023-32315|CVE-2023-32315]] é uma vulnerabilidade de path traversal no Openfire, servidor de mensagens instantâneas XMPP de código aberto amplamente utilizado em ambientes corporativos. A falha permite que um atacante não autenticado acesse rotas restritas do painel de administração por meio de manipulação de caminho na URL, contornando completamente o mecanismo de autenticação. Uma vez com acesso ao painel admin, o atacante pode instalar um plugin malicioso que executa código arbitrário no servidor. O malware [[kinsing|Kinsing]], especializado em cryptomining e movimento lateral em ambientes Linux, foi documentado explorando esta vulnerabilidade em larga escala para implantar miners de criptomoeda em servidores comprometidos. Com EPSS no percentil 99 e exploit público de fácil uso, qualquer instância Openfire exposta à internet sem o patch deve ser considerada comprometida. A vulnerabilidade permaneceu sem patch por vários meses enquanto atores maliciosos a exploravam ativamente, e continua sendo varrida por botnets automatizados. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 9.8 (Critical) | | **Tipo** | Path traversal + bypass autenticação | | **Produto** | Openfire XMPP Server | | **Versões afetadas** | 3.10.0 a 4.7.4 | | **Patch** | 4.7.5 (25 mai 2023) | | **Mecanismo** | URL path traversal (`setup/..` bypass) | ## Fluxo de Exploração 1. Envio de requisição GET para `/setup/../admin/` (bypass de auth) 2. Acesso não autenticado à interface administrativa 3. Upload de plugin JAR malicioso via `/admin/plugin-admin.jsp` 4. Execução de código como o usuário do processo Openfire **TTPs observados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-007-javascript|T1059]] · [[t1496-resource-hijacking|T1496]] · [[t1505-003-web-shell|T1505.003]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar Openfire para 4.7.5 ou superior - Bloquear acesso externo à porta Openfire (geralmente 9090/9091) - Auditar plugins instalados - remover quaisquer não autorizados **Detecção:** - Alertar em requisições HTTP para `/setup/` em servidores Openfire - Monitorar criação de arquivos JAR em diretórios de plugin - Monitorar processos de CPU/GPU anormalmente altos (indicador de mining) **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1042-disable-or-remove-feature-or-program|M1042]] > [!latam] Relevância LATAM > O Kinsing é um dos malwares de cryptomining mais ativos no Brasil, particularmente em ambientes de servidor Linux. Servidores Openfire expostos sem patch em empresas e provedores de hospedagem latinoamericanos são alvos contínuos de varreduras automatizadas pelo botnet Kinsing. ## Referências - [VulnCheck - CVE-2023-32315 Analysis](https://vulncheck.com/blog/openfire-CVE-2023-32315) - [Aqua Security - Kinsing Exploitation](https://www.aquasec.com/blog/kinsing-malware-exploiting-critical-openfire-vulnerability/) - [FOFA/Shodan - Mass Exploitation Data](https://github.com/K3ysTr0K3R/CVE-2023-32315-EXPLOIT)