✔Вымогатели атакуют критическую уязвимость в Apache ActiveMQ - «Новости»

07 ноября 2023 585 Добавления стилей / Изображения / Вёрстка / Новости / Преимущества стилей / Интернет и связь / Типы носителей / Заработок / Текст 0

Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации.

Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.

Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module:

версии 5.18.x до 5.18.3;

версии 5.17.x до 5.17.6;

версии 5.16.x до 5.16.7;

все версии до 5.15.16.

Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3.

Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода.

По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая.

Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ.

Стоит отметить, что исходный код HelloKitty недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим.

Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи.

Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked».

При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.

Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty. Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации. Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire. Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module: версии 5.18.x до 5.18.3; версии 5.17.x до 5.17.6; версии 5.16.x до 5.16.7; все версии до 5.15.16. Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3. Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода. По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая. Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ. Стоит отметить, что исходный код HelloKitty недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим. Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи. Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked». При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.