Le ransomware Mauri exploite une vulnérabilité dans Apache ActiveMQ

ISGroup Cybersecurity

Les acteurs de menaces liés au ransomware Mauri exploitent une vulnérabilité critique dans Apache ActiveMQ, identifiée sous le nom de CVE-2023-46604, pour installer CoinMiner et d’autres outils malveillants. Cette faille d’exécution de code à distance permet aux attaquants de compromettre les serveurs ActiveMQ non mis à jour, obtenant ainsi le contrôle total du système cible.

Suite à sa divulgation publique, la vulnérabilité a été activement exploitée par plusieurs groupes, dont Andariel et le ransomware HelloKitty, avec des activités d’attaque significatives ciblant les systèmes coréens.

ProduitApache ActiveMQ
Date10-12-2024 16:03:37
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Comprendre la CVE-2023-46604

La CVE-2023-46604 est une vulnérabilité d’exécution de code à distance dans le serveur Apache ActiveMQ, un serveur open-source dédié à la messagerie et aux modèles de communication. Les attaquants peuvent exécuter des opérations malveillantes à distance en modifiant les types de classes sérialisées dans le protocole OpenWire.

Phases d’exploitation :

  • Les acteurs malveillants modifient les paquets pour inclure des références à des fichiers de configuration XML de classes hébergés sur des URL externes.
  • Le serveur compromis charge le fichier XML de l’attaquant, permettant des actions telles que :
  • L’installation de logiciels malveillants (par exemple, Frpc pour une utilisation en tant que proxy inverse).
  • La création de comptes avec porte dérobée (par exemple, « adminCaloX1 ») avec des privilèges élevés, y compris l’accès RDP.

Versions concernées

Apache ActiveMQ :

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.15.15 ou antérieures

Module Apache ActiveMQ Legacy OpenWire :

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.8.0 – 5.15.15

Recommandations

Mise à jour des systèmes :

  • Mettre à jour Apache ActiveMQ vers la dernière version disponible pour éliminer la vulnérabilité CVE-2023-46604.

Surveillance des systèmes :

  • Inspecter régulièrement les journaux à la recherche d’anomalies, en particulier concernant les opérations du protocole OpenWire et les activités administratives inhabituelles.

Contrôles d’accès :

  • Restreindre l’accès externe aux services ActiveMQ, en utilisant des VPN ou des listes blanches d’IP pour réduire l’exposition.

Atténuation temporaire

  • Désactiver la prise en charge du protocole OpenWire sur les serveurs ActiveMQ vulnérables s’il n’est pas possible d’appliquer le correctif immédiatement.

[Callforaction-THREAT-Footer]