Les chercheurs en cybersécurité mettent en garde contre l’exploitation présumée d’une faille de sécurité critique récemment révélée dans le service de courtage de messages open source Apache ActiveMQ, qui pourrait entraîner l’exécution de code à distance.
« Dans les deux cas, l’adversaire a tenté de déployer des binaires de ransomware sur les systèmes cibles dans le but de rançonner les organisations victimes », a révélé la société de cybersécurité Rapid7 dans un rapport publié mercredi.
« Sur la base de la demande de rançon et des preuves disponibles, nous attribuons l’activité à la famille de ransomwares HelloKitty, dont le code source a été divulgué sur un forum début octobre. »
Les intrusions impliqueraient l’exploitation de CVE-2023-46604, une vulnérabilité d’exécution de code à distance dans Apache ActiveMQ qui permet à un acteur malveillant d’exécuter des commandes shell arbitraires.
Il convient de noter que la vulnérabilité porte un score CVSS de 10,0, indiquant une gravité maximale. Ce problème a été résolu dans les versions ActiveMQ 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 publiées à la fin du mois dernier.
La vulnérabilité affecte les versions suivantes –
- Apache ActiveMQ 5.18.0 avant 5.18.3
- Apache ActiveMQ 5.17.0 avant 5.17.6
- Apache ActiveMQ 5.16.0 avant 5.16.7
- Apache ActiveMQ avant 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 avant 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 avant 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 avant 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 avant 5.15.16
Depuis la divulgation du bug, un code d’exploitation de preuve de concept (PoC) et des détails techniques supplémentaires ont été rendus publics, Rapid7 notant que le comportement observé dans les deux réseaux victimes est « similaire à ce que nous attendrions de l’exploitation de CVE-2023-46604. »
Une exploitation réussie est suivie par la tentative de l’adversaire de charger des binaires distants nommés M2.png et M4.png à l’aide de Windows Installer (msiexec).
Les deux fichiers MSI contiennent un exécutable .NET 32 bits nommé dllloader qui, à son tour, charge une charge utile codée en Base64 appelée EncDLL qui fonctionne comme un ransomware, recherchant et mettant fin à un ensemble spécifique de processus avant de commencer le processus de cryptage et d’ajouter le fichier crypté. fichiers avec l’extension « .locked ».
La Shadowserver Foundation a déclaré avoir trouvé 3 326 instances ActiveMQ accessibles sur Internet qui sont sensibles au CVE-2023-46604 au 1er novembre 2023. La majorité des serveurs vulnérables sont situés en Chine, aux États-Unis, en Allemagne, en Corée du Sud et en Inde.
À la lumière de l’exploitation active de la faille, il est recommandé aux utilisateurs de mettre à jour vers la version corrigée d’ActiveMQ dès que possible et d’analyser leurs réseaux à la recherche d’indicateurs de compromission.
