Các nhà nghiên cứu an ninh mạng đang cảnh báo về hoạt động khai thác được cho là có liên quan đến lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong dịch vụ môi giới tin nhắn nguồn mở Apache ActiveMQ có thể dẫn đến việc thực thi mã từ xa. Công ty bảo mật Rapid7 tiết lộ trong một báo cáo được công bố gần đây: “Trong cả hai trường hợp, kẻ thù đã cố gắng triển khai các tệp nhị phân ransomware trên các hệ thống mục tiêu trong nỗ lực đòi tiền chuộc các tổ chức nạn nhân. Dựa trên giấy đòi tiền chuộc và bằng chứng có sẵn, chúng tôi cho rằng hoạt động này do tổ chức ransomware HelloKitty gây ra, mã nguồn của chúng đã bị rò rỉ trên một diễn đàn vào đầu tháng 10.”
Các vụ xâm nhập được cho là liên quan đến việc khai thác CVE-2023-46604, một lỗ hổng thực thi mã từ xa trong Apache ActiveMQ cho phép tác nhân đe dọa chạy các lệnh shell tùy ý.
Đáng chú ý, lỗ hổng bảo mật có điểm CVSS là 10.0, cho thấy mức độ nghiêm trọng tối đa. Nó đã được giải quyết trong các phiên bản ActiveMQ 5.15.16, 5.16.7, 5.17.6 hoặc 5.18.3 được phát hành vào cuối tháng trước.
Lỗ hổng bảo mật ảnh hưởng đến các phiên bản sau –
- Apache ActiveMQ 5.18.0 trước 5.18.3
- Apache ActiveMQ 5.17.0 trước 5.17.6
- Apache ActiveMQ 5.16.0 trước 5.16.7
- Apache ActiveMQ trước 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 trước 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 trước 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 trước 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 trước 5.15.16
Kể từ khi tiết lộ lỗi, mã khai thác bằng chứng khái niệm (PoC) và các chi tiết kỹ thuật bổ sung đã được công khai, với Rapid7 lưu ý rằng hành vi mà họ quan sát thấy trong hai mạng nạn nhân “tương tự như những gì chúng tôi mong đợi từ việc khai thác CVE-2023-46604″. Khai thác thành công được theo sau bởi kẻ thù cố gắng tải các tệp nhị phân từ xa có tên M2.png và M4.png bằng cách sử dụng Windows Installer (msiexec).
Cả hai tệp MSI đều chứa tệp thực thi .NET 32 bit có tên dllloader, lần lượt tải tải trọng được mã hóa Base64 được gọi là EncDLL có chức năng giống như ransomware, tìm kiếm và chấm dứt một bộ quy trình cụ thể trước khi bắt đầu quá trình mã hóa và nối thêm các tệp được mã hóa với phần mở rộng “.locked”.
Shadowserver Foundation cho biết họ đã tìm thấy 3.326 phiên bản ActiveMQ có thể truy cập internet dễ bị CVE-2023-46604 tính đến ngày 1/11/2023. Phần lớn các máy chủ dễ bị tấn công được đặt tại Trung Quốc, Mỹ, Đức, Hàn Quốc và Ấn Độ.
Trước sự khai thác tích cực của lỗ hổng, người dùng nên cập nhật lên phiên bản cố định của ActiveMQ càng sớm càng tốt và quét mạng của họ để tìm các chỉ số thỏa hiệp.