超过3,000台可通过Internet访问的Apache ActiveMQ 服务器暴露在一个严重的远程代码执行漏洞影响下,攻击者已开始主动针对该漏洞来释放勒索软件。
Apache 软件基金会(ASF)于去年10月27日披露了该漏洞,漏洞编号为CVE-2023-46604。该漏洞允许有权访问 ActiveMQ 消息代理的远程攻击者在受影响的系统上执行任意命令。漏洞的EXP和完整详细信息已经公开,这意味着威胁参与者拥有针对漏洞发起攻击的手段和信息。
漏洞利用活动
Rapid7 的研究人员报告说,从ASF披露威胁的同一天开始,在两个客户位置观察到针对该漏洞的漏洞利用活动。“在这两种情况下,攻击者都试图在目标系统上部署勒索软件,以勒索受害组织,”Rapid7托管检测和响应团队的研究人员在博客文章中说。他们将这两个目标组织描述为运行过时版本的 Apache ActiveMQ。
研究人员根据赎金记录和其他攻击特征,将恶意活动归咎于 HelloKitty 勒索软件系列。至少自2020年以来,HelloKitty 勒索软件一直在野外渗透。它的运营者倾向于双重勒索攻击,在这种攻击中,他们不仅加密了数据,而且还窃取了数据,作为从受害者那里榨取赎金的额外杠杆。
利用 ActiveMQ 漏洞的 HelloKitty 勒索软件攻击似乎有些初级。在其中一次攻击中,威胁行为者进行了超过六次加密数据的尝试,这使得研究人员在他们的报告中将威胁行为者标记为“笨拙”。
“自上周以来,该漏洞的漏洞利用代码已公开发布,我们的研究人员已经证实了可利用性,”Rapid7威胁研究主管Caitlin Condon说。“Rapid7 观察到的威胁活动看起来像是自动利用,并不是特别复杂,因此我们建议组织快速修补以防止未来潜在的漏洞利用。”
超过 3,000 个系统容易受到攻击
根据 ShadowServer组织去年10月30日发布的数据,约有3,329 个连接互联网的 ActiveMQ 系统容易受到 CVE-2023-46604 的攻击。
ActiveMQ 是一个相对流行的开源消息代理,它促进了不同应用程序、服务和系统之间的消息传递。ASF 将该技术描述为“最流行的开源、多协议、基于 Java 的消息代理”。数据分析公司 Enlyft 估计约有13,120 家公司(主要是中小型公司)使用 ActiveMQ。
CVE-2023-46604 影响 Apache ActiveMQ 和 Apache ActiveMQ 旧版 OpenWire 模块的多个版本。易受攻击的版本包括低于 5.18.3 的 Apache ActiveMQ 版本;5.17.6 ActiveMQ 旧版 OpenWire 模块 5.18.3 之前和 5.17.6 之前的版本 ASF 在 CVSS 量表上为该漏洞分配了最高可能的严重性分数 10.0,并发布了受影响软件的更新版本。ASF 建议使用该技术的组织升级到固定版本以降低风险。
CVE-223-466604 是一种不安全的反序列化漏洞,当应用程序在未首先验证数据是否有效的情况下反序列化不受信任或操纵的数据时,就会发生这种漏洞。攻击者通常通过发送恶意构建的对象来利用此类缺陷,该对象在反序列化时会执行恶意或未经授权的代码,从而导致违规和任意代码执行。不安全的反序列化错误很常见,多年来一直是 OWASP 十大Web应用程序漏洞类型列表中的常见问题。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
