Los investigadores de ciberseguridad advierten sobre la sospecha de explotación de una falla de seguridad crítica recientemente revelada en el servicio de intermediario de mensajes de código abierto Apache ActiveMQ que podría resultar en la ejecución remota de código.
«En ambos casos, el adversario intentó implementar archivos binarios de ransomware en los sistemas objetivo en un esfuerzo por rescatar a las organizaciones víctimas», dijo la firma de ciberseguridad Rapid7. revelado en un informe publicado el miércoles.
«Basándonos en la nota de rescate y la evidencia disponible, atribuimos la actividad a la familia de ransomware HelloKitty, cuyo código fuente se filtró en un foro a principios de octubre».
Se dice que las intrusiones implican la explotación de CVE-2023-46604una vulnerabilidad de ejecución remota de código en Apache ActiveMQ que permite a un actor de amenazas ejecutar comandos de shell arbitrarios.
Vale la pena señalar que el vulnerabilidad lleva una puntuación CVSS de 10,0, lo que indica gravedad máxima. Ha sido dirigido en las versiones ActiveMQ 5.15.16, 5.16.7, 5.17.6 o 5.18.3 lanzadas a fines del mes pasado.
La vulnerabilidad afecta a las siguientes versiones:
- Apache ActiveMQ 5.18.0 anterior a 5.18.3
- Apache ActiveMQ 5.17.0 anterior a 5.17.6
- Apache ActiveMQ 5.16.0 anterior a 5.16.7
- Apache ActiveMQ anterior al 5.15.16
- Módulo Apache ActiveMQ Legacy OpenWire 5.18.0 anterior a 5.18.3
- Módulo Apache ActiveMQ Legacy OpenWire 5.17.0 anterior a 5.17.6
- Módulo Apache ActiveMQ Legacy OpenWire 5.16.0 anterior a 5.16.7
- Módulo Apache ActiveMQ Legacy OpenWire 5.8.0 anterior a 5.15.16
Desde la divulgación del error, se ha realizado una prueba de concepto (PoC) código de explotación y detalles técnicos adicionales se han puesto a disposición del público, y Rapid7 señaló que el comportamiento que observó en las dos redes de víctimas es «similar a lo que esperaríamos de la explotación de CVE-2023-46604».
A la explotación exitosa le sigue el intento del adversario de cargar archivos binarios remotos llamados M2.png y M4.png usando el instalador de Windows (msiexec).
Ambos archivos MSI contienen un ejecutable .NET de 32 bits llamado dllloader que, a su vez, carga una carga útil codificada en Base64 llamada EncDLL que funciona de manera similar a un ransomware, buscando y finalizando un conjunto específico de procesos antes de comenzar el proceso de cifrado y agregar el archivo cifrado. archivos con la extensión «.locked».
 |
| Fuente de la imagen: Fundación Shadowserver |
La Fundación Shadowserver dicho se encontró 3.326 instancias ActiveMQ accesibles desde Internet que son susceptibles a CVE-2023-46604 a partir del 1 de noviembre de 2023. La mayoría de los servidores vulnerables están ubicados en China, Estados Unidos, Alemania, Corea del Sur e India.
A la luz de la explotación activa de la falla, se recomienda a los usuarios actualizar a la versión reparada de ActiveMQ lo antes posible y escanear sus redes en busca de indicadores de compromiso.