Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty.
Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации.
Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.
Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module:
- версии 5.18.x до 5.18.3;
- версии 5.17.x до 5.17.6;
- версии 5.16.x до 5.16.7;
- все версии до 5.15.16.
Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3.
Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода.
По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая.
Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ.
Стоит отметить, что исходный код HelloKitty недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим.
Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи.
Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked».
При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.
