MKD-CIRT National Centre for Computer Incident Response
Истражувачите за сајбер безбедност предупредуваат на сомнителна експлоатација на неодамна откриениот критичен безбедносен пропуст во услугата за брокер за пораки со отворен код Apache ActiveMQ што може да резултира со далечинско извршување на кодот.
„Во двата случаи, противникот се обиде да распореди бинарни програми за откупни софтвери на целните системи во обид да ги откупи организациите жртви“, објави фирмата за сајбер безбедност Rapid7 во извештајот објавен во средата.
„Врз основа на белешката за откуп и достапни докази, активноста ја припишуваме на семејството на откупни софтвери HelloKitty, чиј изворен код беше објавен на форум на почетокот на октомври.
Се вели дека упадите вклучуваат експлоатација на CVE-2023-46604 , ранливост за далечинско извршување на код во Apache ActiveMQ што му овозможува на актерот за закана да извршува произволни команди на школка.
Вреди да се напомене дека ранливоста носи оценка CVSS од 10,0, што укажува на максимална сериозност. Тоа е обработено во верзии на ActiveMQ 5.15.16, 5.16.7, 5.17.6 или 5.18.3 објавени кон крајот на минатиот месец.
Ранливоста влијае на следните верзии –
- Apache ActiveMQ 5.18.0 пред 5.18.3
- Apache ActiveMQ 5.17.0 пред 5.17.6
- Apache ActiveMQ 5.16.0 пред 5.16.7
- Apache ActiveMQ пред 5.15.16
- Apache ActiveMQ Legacy OpenWire модул 5.18.0 пред 5.18.3
- Apache ActiveMQ Legacy OpenWire модул 5.17.0 пред 5.17.6
- Apache ActiveMQ Legacy OpenWire модул 5.16.0 пред 5.16.7
- Apache ActiveMQ Legacy OpenWire модул 5.8.0 пред 5.15.16
Од обелоденувањето на грешката, искористениот код за доказ за концепт (PoC) и дополнителни технички специфики беа јавно достапни, при што Rapid7 забележа дека однесувањето што го забележа во двете мрежи на жртви е „слично на она што би го очекувале од експлоатација на CVE-2023-46604.”
Успешната експлоатација е проследена со обид на противникот да вчита оддалечени бинарни датотеки наречени M2.png и M4.png со помош на Windows Installer ( msiexec ).
Двете датотеки MSI содржат 32-битен .NET извршна датотека со име dllloader кој, пак, вчитува носивост кодирана со Base64 наречена EncDLL што функционира слично на ransomware, барајќи и завршувајќи специфичен сет на процеси пред да започне процесот на шифрирање и да го додаде шифрираниот датотеки со екстензија „.locked“.
Image Source: Shadowserver Foundation
Фондацијата Shadowserver соопшти дека пронашла 3.326 примероци ActiveMQ достапни на интернет кои се подложни на CVE-2023-46604 од 1 ноември 2023 година. Поголемиот дел од ранливите сервери се наоѓаат во Кина, САД, Германија, Јужна Кореја и Индија.
Со оглед на активното искористување на пропустот, на корисниците им се препорачува да ја ажурираат фиксната верзија на ActiveMQ што е можно поскоро и да ги скенираат нивните мрежи за индикатори за компромис.
Извор:(thehackernews.com)