###
2023年6月、Doctor Webは攻撃者によってサーバー上のファイルが暗号化されたというインシデントについて、カスタマーから連絡を受けました。調査の結果、この感染はメッセージングソフトウェアOpenfireの脆弱性 CVE-2023-32315 が悪用された結果であるということが明らかになりました。この脆弱性の悪用によってディレクトリトラバーサル攻撃が実行され、Openfireソフトウェアの管理インターフェースへの不正アクセスが可能になります。攻撃者は管理インターフェースを使用して管理権限を持つ新規ユーザーを作成します。次に、新しく作成したアカウントを使用してログインし、任意のコードを実行できる悪意のあるプラグイン helloworld-openfire-plugin-assembly.jar (SHA1:41d224784242151825aa8001a35ee339a0fef2813f)をインストールします。このプラグインはOpenfireソフトウェアがインストールされているサーバー上でシェルコマンドを実行したり、Javaで記述されたコードを実行してPOSTリクエストでプラグインに送信したりすることを可能にします。今回のインシデントでは、まさにこの方法でサーバー上で暗号化トロイの木馬が起動されていました。
詳細は以下をご覧ください。
リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。