Вымогатели атакуют критическую уязвимость в Apache ActiveMQ - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Вымогатели атакуют критическую уязвимость в Apache ActiveMQ - «Новости»

Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty.


Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации.


Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.


Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module:



  • версии 5.18.x до 5.18.3;

  • версии 5.17.x до 5.17.6;

  • версии 5.16.x до 5.16.7;

  • все версии до 5.15.16.


Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3.


Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода.


По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая.





Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ.


Стоит отметить, что исходный код HelloKitty  недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим.


Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи.


Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked».


При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.


Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty. Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации. Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire. Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module: версии 5.18.x до 5.18.3; версии 5.17.x до 5.17.6; версии 5.16.x до 5.16.7; все версии до 5.15.16. Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3. Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода. По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая. Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ. Стоит отметить, что исходный код HelloKitty недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим. Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи. Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked». При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: