网络安全研究人员警告说,最近披露的Apache ActiveMQ开源消息代理服务中的一个关键安全漏洞可能导致远程代码执行。
“在这两种情况下,对手试图在目标系统上部署勒索软件二进制文件,以努力勒索受害组织,”网络安全公司Rapid7在周三发表的一份报告中披露。
“根据勒索信和现有证据,我们认为这次活动是HelloKitty勒索软件家族所为,其源代码于10月初在一个论坛上被泄露。”
入侵据说涉及CVE-2023-46604,Apache ActiveMQ中的远程代码执行漏洞,允许威胁演员运行任意外壳命令的剥削。
值得注意的是,该漏洞的CVSS评分为10.0,表明其严重性达到最高。在上个月末发布的ActiveMQ版本5.15.16、5.16.7、5.17.6或5.18.3中已经解决了这个问题。
此漏洞会影响以下版本:
- Apache ActiveMQ 5.18.0 before 5.18.3
- Apache ActiveMQ 5.17.0 before 5.17.6
- Apache ActiveMQ 5.16.0 before 5.16.7
- Apache ActiveMQ before 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 before 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 before 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 before 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 before 5.15.16
自从漏洞披露以来,概念验证(PoC)利用代码和其他技术细节已经公开,Rapid7指出,它在两个受害者网络中观察到的行为“类似于我们从CVE-2023-46604的开发中所期望的”。
成功后,使用者会尝试使用Windows Installer(msiexec)加载名为M2.png和M4.png的远程二进制文件。
这两个MSI文件都包含一个名为dllloader的32位.NET可执行文件,该文件依次加载一个名为EncDLL的Ba se 64编码有效载荷,其功能类似于勒索软件,在开始加密过程之前搜索并终止一组特定的进程,并在加密文件后附加”.locked”扩展名。
Shadowserver基金会表示,截至2023年11月1日,他们发现3,326个可通过互联网访问的ActiveMQ实例易受CVE-2023-46604的影响。大多数易受的服务器位于中国、美国、德国、韩国和印度。
鉴于该漏洞的积极利用,建议用户尽快更新到ActiveMQ的固定版本,并扫描他们的网络妥协的指标。