Los investigadores de ciberseguridad advierten sobre la sospecha de explotaci\u00f3n de una falla de seguridad cr\u00edtica recientemente revelada en el servicio de intermediario de mensajes de c\u00f3digo abierto Apache ActiveMQ que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n
“En ambos casos, el adversario intent\u00f3 implementar archivos binarios de ransomware en los sistemas objetivo en un esfuerzo por rescatar a las organizaciones v\u00edctimas”, dijo la firma de ciberseguridad Rapid7. revelado<\/a> en un informe publicado el mi\u00e9rcoles.<\/p>\n “Bas\u00e1ndonos en la nota de rescate y la evidencia disponible, atribuimos la actividad a la familia de ransomware HelloKitty, cuyo c\u00f3digo fuente se filtr\u00f3 en un foro a principios de octubre”.<\/p>\n Se dice que las intrusiones implican la explotaci\u00f3n de CVE-2023-46604<\/a>una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en Apache ActiveMQ que permite a un actor de amenazas ejecutar comandos de shell arbitrarios.<\/p>\n Vale la pena se\u00f1alar que el vulnerabilidad<\/a> lleva una puntuaci\u00f3n CVSS de 10,0, lo que indica gravedad m\u00e1xima. Ha sido dirigido<\/a> en las versiones ActiveMQ 5.15.16, 5.16.7, 5.17.6 o 5.18.3 lanzadas a fines del mes pasado.<\/p>\n La vulnerabilidad afecta a las siguientes versiones:<\/p>\n Desde la divulgaci\u00f3n del error, se ha realizado una prueba de concepto (PoC) c\u00f3digo de explotaci\u00f3n<\/a> y detalles t\u00e9cnicos adicionales<\/a> se han puesto a disposici\u00f3n del p\u00fablico, y Rapid7 se\u00f1al\u00f3 que el comportamiento que observ\u00f3 en las dos redes de v\u00edctimas es “similar a lo que esperar\u00edamos de la explotaci\u00f3n de CVE-2023-46604”.<\/p>\n A la explotaci\u00f3n exitosa le sigue el intento del adversario de cargar archivos binarios remotos llamados M2.png y M4.png usando el instalador de Windows (msiexec<\/a>).<\/p>\n Ambos archivos MSI contienen un ejecutable .NET de 32 bits llamado dllloader que, a su vez, carga una carga \u00fatil codificada en Base64 llamada EncDLL que funciona de manera similar a un ransomware, buscando y finalizando un conjunto espec\u00edfico de procesos antes de comenzar el proceso de cifrado y agregar el archivo cifrado. archivos con la extensi\u00f3n “.locked”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/HelloKitty-Ransomware-Group-explota-la-vulnerabilidad-de-Apache-ActiveMQ.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n