Вымогатели атакуют критическую уязвимость в Apache ActiveMQ - «Новости» » Интернет технологии
sitename
Новый инструмент в Яндекс Вебмастере: «Настройка GET‑параметров» — «Блог для вебмастеров»
Новый инструмент в Яндекс Вебмастере: «Настройка GET‑параметров» — «Блог для вебмастеров»
 В США изобрели углеродно-отрицательный «бетон» — он поглощает CO₂, пока затвердевает - «Новости сети»
В США изобрели углеродно-отрицательный «бетон» — он поглощает CO₂, пока затвердевает - «Новости сети»
 Глава Valve Гейб Ньюэлл выпустит свой первый нейроимплант до конца года — геймеров пока чипировать не будут - «Новости сети»
Глава Valve Гейб Ньюэлл выпустит свой первый нейроимплант до конца года — геймеров пока чипировать не будут - «Новости сети»
 Microsoft выпустила последнее обновление для Windows 11 в этом году - «Новости сети»
Microsoft выпустила последнее обновление для Windows 11 в этом году - «Новости сети»
 SpaceX начала продавать антенны для спутникового интернета Starlink по $89 через торговые автоматы - «Новости сети»
SpaceX начала продавать антенны для спутникового интернета Starlink по $89 через торговые автоматы - «Новости сети»
 «Bethesda никогда не меняется»: юбилейное издание The Elder Scrolls V: Skyrim без предупреждения вышло на Nintendo Switch 2 - «Новости сети»
«Bethesda никогда не меняется»: юбилейное издание The Elder Scrolls V: Skyrim без предупреждения вышло на Nintendo Switch 2 - «Новости сети»
 Минцифры еще раз расширило «белые списки» - «Новости»
Минцифры еще раз расширило «белые списки» - «Новости»
 В Apache Tika исправлена критическая XXE-уязвимость - «Новости»
В Apache Tika исправлена критическая XXE-уязвимость - «Новости»
 ФБР предупреждает о росте количества виртуальных похищений - «Новости»
ФБР предупреждает о росте количества виртуальных похищений - «Новости»
 Китайские хакеры уже эксплуатируют критический баг React2Shell - «Новости»
Китайские хакеры уже эксплуатируют критический баг React2Shell - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Вымогатели атакуют критическую уязвимость в Apache ActiveMQ - «Новости»

✔Вымогатели атакуют критическую уязвимость в Apache ActiveMQ - «Новости»

07 ноября 2023 583 Добавления стилей / Изображения / Вёрстка / Новости / Преимущества стилей / Интернет и связь / Типы носителей / Заработок / Текст 0

Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty.


Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации.


Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire.


Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module:



  • версии 5.18.x до 5.18.3;

  • версии 5.17.x до 5.17.6;

  • версии 5.16.x до 5.16.7;

  • все версии до 5.15.16.


Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3.


Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода.


По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая.





Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ.


Стоит отметить, что исходный код HelloKitty  недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим.


Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи.


Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked».


При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty. Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации. Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire. Согласно сообщению Apache, проблема затрагивает следующие версии Apache Active MQ и Legacy OpenWire Module: версии 5.18.x до 5.18.3; версии 5.17.x до 5.17.6; версии 5.16.x до 5.16.7; все версии до 5.15.16. Исправления уже доступны: уязвимость устранена с релизом версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3. Когда стало известно об этой проблеме, эксперты ShadowServer предупреждали, что в сети можно обнаружить 7249 серверов ActiveMQ. При этом 3329 из них уязвимы перед CVE-2023-46604 и удаленным выполнением кода. По данным аналитиков, большинство уязвимых установок (1400) расположены в Китае. США занимают второе место с 530 установками, Германия — третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея насчитывают по 100 серверов каждая. Как стало известно на этой неделе, CVE-2023-46604 уже подвергается атакам злоумышленников. Так, компания Rapid7 сообщила, что зафиксировала как минимум два случая эксплуатации CVE-2023-46604 в клиентских средах, с целью развертывания шифровальщика HelloKitty и вымогательства денег у пострадавших организаций. Подчеркивается, что в затронутых клиентских средах использовались устаревшие версии Apache ActiveMQ. Стоит отметить, что исходный код HelloKitty недавно был опубликован на русскоязычном хак-форуме, то есть теперь он доступен всем желающим. Атаки, которые обнаружила Rapid7, начались 27 октября, через два дня после того, как Apache выпустила бюллетень безопасности и патчи. Эксперты проанализировали два MSI-файла, замаскированных под PNG-изображения, полученные с подозрительного домена, и обнаружили, что те содержат исполняемый файл .NET, который загружает закодированную в base64 библиотеку .NET DLL под названием EncDLL. Эта библиотека отвечает за поиск и остановку определенных процессов, шифрование файлов с помощью RSACryptoServiceProvider и добавление к ним расширения «.locked». При этом исследователи оценили попытки внедрения малвари в системы жертв как «неуклюжие». Дело в том, что атаки совершал явно неквалифицированный человек, в одном из случаев предпринявший почти десяток попыток зашифровать файлы, но все они оказались безуспешными.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: