Ο χειριστής κακόβουλου λογισμικού Kinsing εκμεταλλεύεται ενεργά την κρίσιμη ευπάθεια CVE-2023-46604 στον μεσίτη μηνυμάτων ανοιχτού κώδικα Apache ActiveMQ για να θέσει σε κίνδυνο συστήματα Linux.
Το ελάττωμα επιτρέπει την απομακρυσμένη εκτέλεση κώδικα και επιδιορθώθηκε στα τέλη Οκτωβρίου. Η αποκάλυψη του Apache εξηγεί ό
τι
το ζήτημα επιτρέπει την εκτέλεση αυθαίρετων εντολών φλοιού αξιοποιώντας σειριακούς τύπους κλάσεων στο πρωτόκολλο OpenWire.
Οι ερευνητές ανακάλυψαν ότι χιλιάδες διακομιστές παρέμειναν εκτεθειμένοι σε επιθέσεις μετά την κυκλοφορία της ενημέρωσης κώδικα και συμμορίες ransomware όπως το HelloKitty και το TellYouThePass άρχισαν να εκμεταλλεύονται την ευκαιρία.
Στόχοι συγγένειας ActiveMQ
Σήμερα, μια αναφορά από την TrendMicro σημειώνει ότι το Kinsing προστίθεται στη λίστα των παραγόντων απειλών που εκμεταλλεύονται το CVE-2023-46604, με στόχο να αναπτύξουν εξορύκτες κρυπτονομισμάτων σε ευάλωτους διακομιστές.
Το κακόβουλο λογισμικό Kinsing στοχεύει συστήματα Linux και ο χειριστής του είναι διαβόητος για την αξιοποίηση γνωστών ελαττωμάτων που συχνά παραβλέπονται από τους διαχειριστές του συστήματος. Προηγουμένως, βασίζονταν στο Log4Shell και ένα σφάλμα Atlassian Confluence RCE για τις επιθέσεις τους.
«Προς το παρόν, υπάρχουν υπάρχοντα δημόσια
exploits
που αξιοποιούν τη μέθοδο ProcessBuilder για την εκτέλεση εντολών σε συστήματα που επηρεάζονται», εξηγούν οι ερευνητές.
“Στο πλαίσιο του Kinsing, το CVE-2023-46604 αξιοποιείται για τη λήψη και την εκτέλεση εξορύξεων κρυπτονομισμάτων και κακόβουλου λογισμικού Kinsing σε ένα ευάλωτο σύστημα” –
Trend Micro
Το κακόβουλο λογισμικό χρησιμοποιεί τη μέθοδο «ProcessBuilder» για την εκτέλεση κακόβουλων σεναρίων bash και τη λήψη πρόσθετων ωφέλιμων φορτίων στη μολυσμένη
συσκευή
μέσα από διαδικασίες που δημιουργήθηκαν πρόσφατα σε επίπεδο συστήματος.
Λήψη δυαδικών και ωφέλιμων φορτίων
(
Trend Micro
)
Το πλεονέκτημα αυτής της μεθόδου είναι ότι επιτρέπει στο κακόβουλο λογισμικό να εκτελεί σύνθετες εντολές και σενάρια με υψηλό βαθμό ελέγχου και ευελιξίας, ενώ ταυτόχρονα αποφεύγει τον εντοπισμό.
Εκμετάλλευση ProcessBuilder που χρησιμοποιείται σε επιθέσεις Kinsing
(Trend Micro)
Πριν από την εκκίνηση του εργαλείου εξόρυξης κρυπτονομισμάτων, το Kinsing ελέγχει το μηχάνημα για ανταγωνιστικούς εξορύκτες Monero σκοτώνοντας τυχόν σχετικές διεργασίες, crontabs και ενεργές συνδέσεις δικτύου.
Σάρωση για ανταγωνιστικούς ανθρακωρύχους
(Trend Micro)
Μετά από αυτό, δημιουργεί την επιμονή μέσω ενός cronjob που ανακτά την πιο πρόσφατη έκδοση του σεναρίου μόλυνσης (bootstrap) και προσθέτει επίσης ένα rootkit στο ‘/etc/ld.so.preload’.
Προστέθηκε κακόβουλο cronjob στον οικοδεσπότη
(Trend Micro)
Ο κατάλογος /etc στα συστήματα Linux συνήθως φιλοξενεί αρχεία διαμόρφωσης συστήματος, εκτελέσιμα για την εκκίνηση του συστήματος και ορισμένα αρχεία καταγραφής, επομένως οι βιβλιοθήκες σε αυτήν τη θέση φορτώνουν πριν ξεκινήσει η διαδικασία ενός προγράμματος.
Σε αυτήν την περίπτωση, η προσθήκη ενός rootkit διασφαλίζει ότι ο κώδικάς του εκτελείται με κάθε διαδικασία που ξεκινά στο σύστημα, ενώ παραμένει σχετικά κρυφός και δύσκολο να αφαιρεθεί.
Καθώς ο αριθμός των φορέων απειλής που εκμεταλλεύονται το CVE-2023-46604 αυξάνεται, οι οργανισμοί σε πολλούς τομείς παραμένουν σε κίνδυνο εάν δεν επιδιορθώσουν την ευπάθεια ή δεν ελέγξουν για σημάδια συμβιβασμού.
Για τον μετριασμό της απειλής, συνιστάται στους διαχειριστές συστήματος να αναβαθμίσουν το Apache Active MQ στις εκδόσεις 5.15.16, 5.16.7, 5.17.6 ή 5.18.3, οι οποίες αντιμετωπίζουν το ζήτημα ασφάλειας.
VIA:
bleepingcomputer.com