Οι διακομιστές Apache ActiveMQ που εκτίθενται στο Διαδίκτυο στοχεύονται επίσης σε επιθέσεις ransomware TellYouThePass που στοχεύουν μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που προηγουμένως είχε εκμεταλλευτεί ως μηδενική ημέρα.
Το ελάττωμα, παρακολουθείται ως
CVE-2023-46604
είναι ένα σφάλμα μέγιστης σοβαρότητας στον κλιμακωτό μεσολαβητή μηνυμάτων ανοιχτού κώδικα ActiveMQ που επιτρέπει σε μη επαληθευμένους εισβολείς να εκτελούν αυθαίρετες εντολές φλοιού σε ευάλωτους διακομιστές.
Ενώ ο Apache κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει την ευπάθεια σ
τι
ς 27 Οκτωβρίου, οι εταιρείες κυβερνοασφάλειας
ArcticWolf
και
Huntress Labs
διαπίστωσε ότι οι φορείς απειλών το εκμεταλλεύονται ως μηδενική ημέρα για να αναπτύξουν κακόβουλο λογισμικό SparkRAT για περισσότερες από δύο εβδομάδες, τουλάχιστον από τις 10 Οκτωβρίου.
Σύμφωνα με στοιχεία από την υπηρεσία παρακολούθησης απειλών ShadowServer, υπάρχουν αυτή τη στιγμή
περισσότερα από 9.200
Οι διακομιστές Apache ActiveMQ εκτίθενται στο διαδίκτυο, με
πάνω από 4.770
ευάλωτα σε εκμεταλλεύσεις CVE-
2023
-46604.
Δεδομένου ότι το Apache ActiveMQ χρησιμοποιείται ως μεσίτης μηνυμάτων σε εταιρικά περιβάλλοντα, η
εφαρμογή
των ενημερώσεων ασφαλείας θα πρέπει να θεωρείται χρονικά ευαίσθητη.
Συνιστάται στους διαχειριστές να επιδιορθώσουν αμέσως όλα τα ευάλωτα συστήματα κάνοντας αναβάθμιση στις εκδόσεις ActiveMQ 5.15.16, 5.16.7, 5.17.6 και 5.18.3.
Διακομιστές χωρίς επιδιόρθωση έναντι του CVE-2023-46604 (ShadowServer)
Στοχεύονται από συμμορίες ransomware
Μία εβδομάδα μετά την επιδιόρθωση αυτής της κρίσιμης ευπάθειας του ActiveMQ από τον Apache, τα Huntress Labs και Rapid7 ανέφεραν ότι εντόπισαν εισβολείς που εκμεταλλεύονταν το σφάλμα για να αναπτύξουν ωφέλιμα φορτία ransomware HelloKitty στα δίκτυα πελατών.
Οι επιθέσεις που παρατήρησαν οι ερευνητές ασφάλειας και των δύο εταιρειών κυβερνοασφάλειας ξεκίνησαν στις 27 Οκτωβρίου, λίγες μέρες μετά την κυκλοφορία των ενημερώσεων κώδικα ασφαλείας του Apache.
Η Arctic Wolf Labs αποκάλυψε σε μια έκθεση
δημοσιεύτηκε μια μέρα αργότερα
ότι οι φορείς απειλών που εκμεταλλεύονται ενεργά το ελάττωμα CVE-2023-46604 το χρησιμοποιούν επίσης για αρχική πρόσβαση σε επιθέσεις που στοχεύουν συστήματα Linux και ωθούν το TellYouThePass ransomware.
Οι ερευνητές ασφαλείας βρήκαν επίσης ομοιότητες μεταξύ των επιθέσεων HelloKitty και TellYouThePass, με τις δύο καμπάνιες να μοιράζονται «διεύθυνση ηλεκτρονικού ταχυδρομείου,
υποδομή
, καθώς και διευθύνσεις πορτοφολιού bitcoin».
“Τα στοιχεία εκμετάλλευσης του CVE-2023-46604 στη φύση από μια ποικιλία παραγόντων απειλής με διαφορετικούς στόχους καταδεικνύουν την ανάγκη για ταχεία αποκατάσταση αυτής της ευπάθειας”, προειδοποίησαν οι ερευνητές του Arctic Wolf.
Το TellYouThePass ransomware έχει δει ένα τεράστιο και
ξαφνική ακίδα
σε δραστηριότητα μετά την κυκλοφορία του Log4Shell proof-of-concept exploits στο διαδίκτυο πριν από δύο χρόνια.
Με την επιστροφή του ως κακόβουλο λογισμικό μεταγλωττισμένο από Golang τον Δεκέμβριο του 2021, το στέλεχος ransomware πρόσθεσε επίσης δυνατότητες στόχευσης μεταξύ πλατφορμών, καθιστώντας δυνατή την επίθεση σε συστήματα Linux και
macOS
(δεν έχουν εντοπιστεί ακόμη δείγματα macOS στην άγρια φύση).
VIA:
bleepingcomputer.com
