Ransomware ataca vulnerabilidad crítica en Apache ActiveMQ – Hacker

Recientemente, los investigadores advirtieron que más de 3.000 mil servidores Apache ActiveMQ accesibles a través de Internet son vulnerables a una vulnerabilidad crítica reciente de RCE (CVE-2023-46604). El error está actualmente bajo ataque. Por ejemplo, los operadores del ransomware HelloKitty están intentando explotar el problema.

Apache ActiveMQ es un intermediario de mensajes de código abierto y escalable que es bastante popular en entornos empresariales, ya que admite una variedad de mecanismos seguros de autenticación y autorización.

Vulnerabilidad CVE-2023-46604, recibió estado crítico y tiene una calificación de 10 sobre 10 en la escala CVSS. El error permite a los atacantes ejecutar comandos de shell arbitrarios utilizando tipos de clases serializadas en el protocolo OpenWire.

De acuerdo a mensaje apacheel problema afecta a las siguientes versiones de Apache Active MQ y Legacy OpenWire Module:

• versiones 5.18.x a 5.18.3;
• versiones 5.17.x a 5.17.6;
• versiones 5.16.x a 5.16.7;
• todas las versiones hasta 5.15.16.

Las correcciones ya están disponibles: la vulnerabilidad se solucionó con el lanzamiento de las versiones 5.15.16, 5.16.7, 5.17.6 y 5.18.3.

Cuando se conoció este problema, los expertos de ShadowServer prevenidoque se pueden encontrar 7249 servidores ActiveMQ en la red. Sin embargo, 3329 de ellos son vulnerables a CVE-2023-46604 y a la ejecución remota de código.

Según los analistas, la mayoría de las instalaciones vulnerables (1.400) se encuentran en China. Estados Unidos ocupa el segundo lugar con 530 instalaciones, Alemania el tercero con 153, y la India, los Países Bajos, Rusia, Francia y Corea del Sur tienen 100 servidores cada uno.

Como se supo esta semana, CVE-2023-46604 ya está siendo atacado por atacantes. Así, la empresa Rapid7 reportado, que registró al menos dos casos de explotación de CVE-2023-46604 en entornos de clientes, con el objetivo de implementar el ransomware HelloKitty y extorsionar a las organizaciones afectadas. Se destaca que los entornos de clientes afectados utilizaban versiones obsoletas de Apache ActiveMQ.

Vale la pena señalar que el código fuente de HelloKitty fue recientemente fue publicado en el foro de piratería en ruso, es decir, ahora está disponible para todos.

Los ataques que descubrió Rapid7 comenzaron el 27 de octubre, dos días después de que Apache publicara su boletín y parches de seguridad.

Los expertos analizaron dos archivos MSI disfrazados de imágenes PNG obtenidas de un dominio sospechoso y descubrieron que contenían un archivo ejecutable .NET que cargaba una DLL .NET codificada en base64 llamada EncDLL. Esta biblioteca es responsable de buscar y detener procesos específicos, cifrar archivos usando RSACryptoServiceProvider y agregarles la extensión “.locked”.

Al mismo tiempo, los investigadores calificaron los intentos de introducir malware en los sistemas de las víctimas como “torpes”. El hecho es que los ataques fueron llevados a cabo por una persona claramente no calificada, que en un caso hizo casi una docena de intentos de cifrar archivos, pero todos fueron infructuosos.