Los investigadores de ciberseguridad están emitiendo una advertencia sobre una vulnerabilidad crítica en el servicio de intermediario de mensajes de código abierto Apache ActiveMQ que ha sido recientemente revelada. Esta vulnerabilidad podría ser explotada para la ejecución remota de código y ha sido utilizada en intentos de implementar archivos binarios de ransomware en sistemas objetivo.
El informe de la firma de ciberseguridad Rapid7 indica que estas intrusiones se atribuyen a la familia de ransomware HelloKitty, cuyo código fuente se filtró en un foro en octubre.
La vulnerabilidad CVE-2023-46604, que permite la ejecución remota de código, ha sido explotada en estos ataques y tiene una puntuación CVSS de 10,0, lo que la hace extremadamente grave. Se ha solucionado en las versiones 5.15.16, 5.16.7, 5.17.6 y 5.18.3 de ActiveMQ, lanzadas a fines del mes pasado.
Las versiones afectadas por esta vulnerabilidad incluyen:
– Apache ActiveMQ 5.18.0 anterior a 5.18.3
-Apache ActiveMQ 5.17.0 anterior a 5.17.6
-Apache ActiveMQ 5.16.0 anterior a 5.16.7
-Apache ActiveMQ versiones anteriores al 5.15.16
-Módulos Apache ActiveMQ Legacy OpenWire 5.18.0 anterior a 5.18.3
-Módulos Apache ActiveMQ Legacy OpenWire 5.17.0 anterior a 5.17.6
-Módulos Apache ActiveMQ Legacy OpenWire 5.16.0 anterior a 5.16.7
-Módulos Apache ActiveMQ Legacy OpenWire 5.8.0 anterior a 5.15.16
Desde la divulgación de la vulnerabilidad, se han hecho públicos un código de explotación de prueba de concepto (PoC) y detalles técnicos adicionales. Rapid7 observó que el comportamiento en las redes de las víctimas se asemeja a lo que se esperaría de la explotación de CVE-2023-46604.
Después de una explotación exitosa, el adversario intenta cargar archivos binarios remotos llamados M2.png y M4.png utilizando el instalador de Windows (msiexec).
Estos archivos MSI contienen un ejecutable .NET de 32 bits llamado dllloader, que a su vez carga una carga útil codificada en Base64 llamada EncDLL, que actúa de manera similar a un ransomware, buscando y finalizando ciertos procesos antes de cifrar archivos y agregarles la extensión “.locked”.
La Fundación Shadowserver informa que hasta el 1 de noviembre de 2023, se han encontrado 3326 instancias de ActiveMQ con acceso a Internet que son vulnerables a CVE-2023-46604. La mayoría de los servidores vulnerables se encuentran en China, Estados Unidos, Alemania, Corea del Sur e India.
Dado que la explotación activa de esta vulnerabilidad representa una amenaza seria, se recomienda encarecidamente a los usuarios que actualicen a la versión reparada de ActiveMQ de inmediato y escaneen sus redes en busca de indicadores de compromiso.
fuente:thehackernews