Vulnerabilidad en Apache ActiveMQ

Los investigadores de ciberseguridad advierten de la sospecha de explotación de una falla de seguridad crítica recientemente revelada en el servicio de intermediario de mensajes de código abierto Apache ActiveMQ que podría resultar en la ejecución remota de código.

“Basándonos en la nota de rescate y la evidencia disponible, atribuimos la actividad a la familia de ransomware HelloKitty, cuyo código fuente se filtró en un foro a principios de octubre”.

Se dice que las intrusiones implican la explotación de CVE-2023-46604, una vulnerabilidad de ejecución remota de código en Apache ActiveMQ que permite a un actor de amenazas ejecutar comandos de shell arbitrarios.

Vale la pena señalar que la vulnerabilidad tiene una puntuación CVSS de 10.0, lo que indica la máxima gravedad. Se ha abordado en las versiones 5.15.16, 5.16.7, 5.17.6 o 5.18.3 de ActiveMQ lanzadas a finales del mes pasado.

La vulnerabilidad afecta a las siguientes versiones:

  • Apache ActiveMQ 5.18.0 antes de 5.18.3
  • Apache ActiveMQ 5.17.0 antes de 5.17.6
  • Apache ActiveMQ 5.16.0 antes de 5.16.7
  • Apache ActiveMQ antes de 5.15.16
  • Módulo OpenWire heredado de Apache ActiveMQ 5.18.0 antes de 5.18.3
  • Módulo OpenWire heredado de Apache ActiveMQ 5.17.0 antes de 5.17.6
  • Módulo OpenWire heredado de Apache ActiveMQ 5.16.0 antes de 5.16.7
  • Módulo OpenWire heredado de Apache ActiveMQ 5.8.0 antes de 5.15.16

Desde la revelación del error, se ha puesto a disposición del público un código de explotación de prueba de concepto (PoC) y detalles técnicos adicionales, y Rapid7 señaló que el comportamiento que observó en las dos redes víctimas es “similar a lo que esperaríamos de la explotación de CVE-2023-46604”.

La explotación exitosa es seguida por el adversario que intenta cargar binarios remotos denominados M2.png y M4.png utilizando Windows Installer (msiexec).

Ambos archivos MSI contienen un ejecutable .NET de 32 bits llamado dllloader que, a su vez, carga una carga útil codificada en Base64 llamada EncDLL que funciona de manera similar al ransomware, buscando y terminando un conjunto específico de procesos antes de comenzar el proceso de cifrado y agregar los archivos cifrados con la extensión “.locked”.

HelloKitty Ransomware

La Fundación Shadowserver dijo que encontró 3.326 instancias de ActiveMQ accesibles a través de Internet que son susceptibles a CVE-2023-46604 a partir del 1 de noviembre de 2023. La mayoría de los servidores vulnerables se encuentran en China, EE. UU., Alemania, Corea del Sur e India.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que actualicen a la versión corregida de ActiveMQ lo antes posible y escaneen sus redes en busca de indicadores de compromiso.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.