Il ransomware Mauri sfrutta una vulnerabilità in Apache ActiveMQ

Gli attori delle minacce legate al ransomware Mauri stanno sfruttando una vulnerabilità critica in Apache ActiveMQ, identificata come CVE-2023-46604, per installare CoinMiner e altri strumenti dannosi. Questa falla di esecuzione di codice da remoto consente agli aggressori di compromettere server ActiveMQ non aggiornati, ottenendo il pieno controllo del sistema target.

In seguito alla sua divulgazione pubblica, la vulnerabilità è stata attivamente sfruttata da diversi gruppi, tra cui Andariel e il ransomware HelloKitty, con attività d’attacco significative rivolte ai sistemi coreani.

Apache ActiveMQ
2024-12-10 16:03:37
Fix Available, Active Exploitation

Riassunto tecnico

Comprendere CVE-2023-46604

CVE-2023-46604 è una vulnerabilità di esecuzione di codice da remoto nel server Apache ActiveMQ, un server open-source per la messaggistica e i pattern di comunicazione. Gli aggressori possono eseguire operazioni dannose da remoto modificando i tipi di classe serializzati nel protocollo OpenWire.

Fasi di sfruttamento:

  • Gli attori malevoli modificano i pacchetti per includere riferimenti a file di configurazione XML di classi ospitati su URL esterni.
  • Il server compromesso carica il file XML dell’aggressore, abilitando azioni come:
  • Installazione di malware (ad esempio, Frpc per l’uso come proxy inverso).
  • Creazione di account con backdoor (ad esempio, “adminCaloX1”) con privilegi elevati, compreso l’accesso RDP.

Versioni interessate

Apache ActiveMQ:

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.15.15 o precedenti

Modulo Apache ActiveMQ Legacy OpenWire:

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.8.0 – 5.15.15

Raccomandazioni

Aggiornamento dei sistemi:

  • Aggiornare Apache ActiveMQ all’ultima versione disponibile per eliminare le vulnerabilità CVE-2023-46604.

Monitoraggio dei sistemi:

  • Ispezionare regolarmente i log alla ricerca di anomalie, in particolare relative alle operazioni del protocollo OpenWire e ad attività amministrative insolite.

Controlli di accesso:

  • Limitare l’accesso esterno ai servizi ActiveMQ, utilizzando VPN o liste bianche IP per ridurre l’esposizione.

Mitigazione temporanea

  • Disabilitare il supporto al protocollo OpenWire nei server ActiveMQ vulnerabili se non è possibile applicare subito la patch.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In