Exploitation active d’une faille critique OpenFire

Les pirates exploitent une faille critique des serveurs OpenFire.

Des pirates exploitent activement la faille OpenFire pour chiffrer potentiellement des milliers de serveurs. Les pirates exploitent activement une vulnérabilité de haute gravité dans les serveurs de messagerie OpenFire pour chiffrer les serveurs avec un ransomware et déployer des cryptomineurs. OpenFire est un serveur de chat open source basé sur Java (XMPP) largement utilisé, téléchargé 9 millions de fois et largement utilisé pour des communications de chat sécurisées et multiplateformes. Cette faille est identifiée par par la CISA sous la dénomination “Ignite Realtime OpenFire Path Traversal Vulnerability“.

CVE-2023-32315 : OpenFire est un serveur XMPP sous licence Open Source Apache et créé par la communauté Ignite Realtime. Le serveur Openfire est livré avec une console d’administration, qui est une interface Web utilisée pour gérer et configurer les paramètres du serveur. Cette console s’est révélée vulnérable à une attaque via l’environnement d’installation. Un utilisateur non authentifié peut utiliser l’environnement de configuration Openfire non authentifié. Une situation possible dans un environnement déjà configuré pour accéder aux pages restreintes de la console d’administration OpenFire réservées aux administrateurs.

Des milliers de serveurs Openfire XMPP non corrigés toujours exposés à cette faille critique. Une analyse Shodan menée par la société de cybersécurité révèle que sur plus de 6 300 serveurs Openfire accessibles sur Internet, environ 50 % d’entre eux exécutent des versions concernées de la solution open source XMPP. Alors que les exploits publics ont exploité la vulnérabilité pour créer un utilisateur administratif, se connecter, puis télécharger un plugin pour exécuter du code, VulnCheck a déclaré qu’il était possible de le faire sans avoir à créer un compte administrateur, ce qui le rendait plus furtif et attrayant pour les acteurs malveillants.


Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.


La Cybersecurity and Infrastructure Security Agency (CISA) est une agence fédérale américaine sous la supervision du département de la Sécurité intérieure des États-Unis, créée le 16 novembre 2018 à la suite de la promulgation du Cybersecurity and Infrastructure Security Agency Act (en) de 2018. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement. En cybersécurité, la mission du CISA est de diriger les efforts visant à protéger le domaine fédéral des réseaux du gouvernement civil. Elle vise aussi à collaborer avec le secteur privé pour accroître la sécurité des réseaux critiques. La CISA dirige l'effort national pour comprendre, gérer et réduire les risques pour l'infrastructure cyber et physique sur laquelle les Américains comptent à chaque heure de chaque jour. Sa mission s'étend à trois domaines principaux : la cybersécurité, la sécurité des infrastructures et les communications d'urgence.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut