Cybersecurity-onderzoekers waarschuwen voor vermoedelijke exploitatie van een onlangs onthulde kritieke beveiligingsfout in de open-source message broker-service Apache ActiveMQ, die zou kunnen resulteren in het uitvoeren van code op afstand.
“In beide gevallen probeerde de tegenstander ransomware-binaire bestanden op doelsystemen te plaatsen in een poging de slachtofferorganisaties los te kopen”, onthulde cyberbeveiligingsbedrijf Rapid7 in een woensdag gepubliceerd rapport.
“Op basis van het losgeldbriefje en het beschikbare bewijsmateriaal schrijven we de activiteit toe aan de HelloKitty-ransomwarefamilie, waarvan de broncode begin oktober op een forum werd gelekt.”
Er wordt gezegd dat de inbraken betrekking hebben op de exploitatie van CVE-2023-46604, een kwetsbaarheid voor het uitvoeren van externe code in Apache ActiveMQ waarmee een bedreigingsacteur willekeurige shell-opdrachten kan uitvoeren.
Het is vermeldenswaard dat de kwetsbaarheid een CVSS-score van 10,0 heeft, wat de maximale ernst aangeeft. Het is verholpen in ActiveMQ-versies 5.15.16, 5.16.7, 5.17.6 of 5.18.3 die eind vorige maand zijn uitgebracht.
Het beveiligingslek treft de volgende versies:
- Apache ActiveMQ 5.18.0 vóór 5.18.3
- Apache ActiveMQ 5.17.0 vóór 5.17.6
- Apache ActiveMQ 5.16.0 vóór 5.16.7
- Apache ActiveMQ vóór 5.15.16
- Apache ActiveMQ Legacy OpenWire-module 5.18.0 vóór 5.18.3
- Apache ActiveMQ Legacy OpenWire-module 5.17.0 vóór 5.17.6
- Apache ActiveMQ Legacy OpenWire-module 5.16.0 vóór 5.16.7
- Apache ActiveMQ Legacy OpenWire-module 5.8.0 vóór 5.15.16
Sinds de onthulling van de bug zijn een proof-of-concept (PoC)-exploitcode en aanvullende technische details publiekelijk beschikbaar gemaakt, waarbij Rapid7 opmerkt dat het gedrag dat het in de twee slachtoffernetwerken heeft waargenomen “vergelijkbaar is met wat we zouden verwachten van de uitbuiting van de bug”. CVE-2023-46604.”
Succesvolle exploitatie wordt gevolgd door een poging van de tegenstander om externe binaire bestanden genaamd M2.png en M4.png te laden met behulp van de Windows Installer (msiexec).
Beide MSI-bestanden bevatten een 32-bits .NET-uitvoerbaar bestand genaamd dllloader dat op zijn beurt een Base64-gecodeerde payload laadt, genaamd EncDLL, die functioneert als ransomware, waarbij een specifieke reeks processen wordt doorzocht en beëindigd voordat het coderingsproces wordt gestart en de gecodeerde bestanden worden toegevoegd. bestanden met de extensie “.locked”.
De Shadowserver Foundation zei dat het vanaf 1 november 2023 3.326 via internet toegankelijke ActiveMQ-instanties heeft gevonden die vatbaar zijn voor CVE-2023-46604. Een meerderheid van de kwetsbare servers bevindt zich in China, de VS, Duitsland, Zuid-Korea en India.
In het licht van de actieve uitbuiting van de fout wordt gebruikers aangeraden zo snel mogelijk te updaten naar de vaste versie van ActiveMQ en hun netwerken te scannen op indicatoren van compromissen.
