MKD-CIRT National Centre for Computer Incident Response
Серверите на Apache ActiveMQ кои се изложени на Интернет, исто така, се насочени кон нападите на TellYouThePass ransomware, чија цел е критична ранливост за далечинско извршување на кодот (RCE) претходно искористена како нулти ден.
Недостатокот, следен како CVE-2023-46604 , е грешка со максимална сериозност во скалабилниот брокер за пораки со отворен код ActiveMQ што им овозможува на неавтентицираните напаѓачи да извршуваат произволни команди на школка на ранливи сервери.
Додека Apache објави безбедносни ажурирања за да ја поправи ранливоста на 27 октомври, компаниите за сајбер безбедност ArcticWolf и Huntress Labs открија дека актерите за закана го користат како нулти ден за распоредување на малициозен софтвер SparkRAT повеќе од две недели, најмалку од 10 октомври.
Според податоците од услугата за следење закани ShadowServer, моментално има повеќе од 9.200 Apache ActiveMQ сервери изложени на интернет, со над 4.770 ранливи на CVE-2023-46604 експлоатирања.
Бидејќи Apache ActiveMQ се користи како посредник за пораки во деловните средини, примената на безбедносните ажурирања треба да се смета за чувствителна на време.
Администраторите се советуваат веднаш да ги закрпат сите ранливи системи со надградба на ActiveMQ верзии 5.15.16, 5.16.7, 5.17.6 и 5.18.3.
Сервери незакрпени против CVE-2023-46604 (ShadowServer)
Насочени од банди за ransomware
Една недела откако Apache ја закрпи оваа критична ранливост на ActiveMQ, Huntress Labs и Rapid7 објавија дека забележале напаѓачи кои ја искористуваат грешката за да распоредат товари за откупни софтвер HelloKitty на мрежите на клиентите.
Нападите забележани од безбедносните истражувачи на двете компании за сајбер безбедност започнаа на 27 октомври, само неколку дена откако Apache ги објави безбедносните закрпи.
Arctic Wolf Labs откри во извештајот објавен еден ден подоцна дека актерите на закана кои активно го користат пропустот CVE-2023-46604, исто така, го користат за почетен пристап во нападите насочени кон системите на Linux и туркањето на TellYouThePass ransomware.
Истражувачите за безбедност, исто така, открија сличности меѓу нападите HelloKitty и TellYouThePass, при што двете кампањи споделуваат „адреса на е-пошта, инфраструктура, како и адреси на биткоин паричник“.
„Доказите за експлоатација на CVE-2023-46604 во дивината од асортиман на актери за закана со различни цели ја демонстрираат потребата за брза санација на оваа ранливост“, предупредија истражувачите од Аrctic Wolf.
TellYouThePass ransomware забележа огромен и ненадеен скок во активноста откако Log4Shell доказ за концепт беа објавени онлајн пред две години.
Со неговото враќање како злонамерен ,malware оставен од Голанг во декември 2021 година, видот на ransomware додаде и можности за таргетирање на повеќе платформи , што овозможува да се нападнат Linux и macOS системи (примероците на macOS допрва треба да се забележат во дивината).
Извор: bleepingcomputer.