Gần đây, các nhà nghiên cứu an ninh mạng cảnh báo về khả năng kẻ tấn công khai thác lỗ hổng bảo mật nghiêm trọng được tiết lộ trong dịch vụ môi giới tin nhắn nguồn mở Apache ActiveMQ. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trên máy chủ của nạn nhân.
Công ty an ninh mạng Rapid7 cho biết: “Trong cả hai trường hợp, kẻ tấn công đã cố gắng triển khai các tệp nhị phân ransomware trên các hệ thống mục tiêu nhằm tống tiền các tổ chức. Dựa trên thông báo đòi tiền chuộc và bằng chứng sẵn có, chúng tôi cho rằng hoạt động này là do tổ chức ransomware HelloKitty, mã nguồn của chúng đã bị rò rỉ trên một diễn đàn vào đầu tháng 10.”
Các cuộc xâm nhập được cho là liên quan đến việc khai thác CVE-2023-46604, một lỗ hổng thực thi mã từ xa trong Apache ActiveMQ, cho phép kẻ tấn công chạy các lệnh shell tùy ý.
Điều đáng chú ý là lỗ hổng này có điểm CVSS là 10,0 – với mức độ nghiêm trọng tối đa. Lỗ hổng này đã được khắc phục trong các phiên bản ActiveMQ 5.15.16, 5.16.7, 5.17.6 hoặc 5.18.3 được phát hành vào cuối tháng trước.
Lỗ hổng ảnh hưởng đến các phiên bản:
- Apache ActiveMQ từ 5.18.0 đến 5.18.3
- Apache ActiveMQ từ 5.17.0 đến 5.17.6
- Apache ActiveMQ từ 5.16.0 đến 5.16.7
- Apache ActiveMQ các phiên bản trước 5.15.16
- Apache ActiveMQ Legacy OpenWire Module từ 5.18.0 đến 5.18.3
- Apache ActiveMQ Legacy OpenWire Module từ 5.17.0 đến 5.17.6
- Apache ActiveMQ Legacy OpenWire Module từ 5.16.0 đến 5.16.7
- Apache ActiveMQ Legacy OpenWire Module từ 5.8.0 đến 5.15.16
Kể từ khi lỗ hổng được tiết lộ, kẻ tấn công đã công bố mã khai thác bằng chứng POC và các thông số kỹ thuật. Các chuyên gia bảo mật của Rapid7 đã quan sát thấy hành vi của hecker trong hai mạng bị tấn công và cho rằng hành vi đó tương tự như những gì họ dự đoán sẽ xảy ra nếu lỗ hổng bảo mật bị khai thác thành công.
Sau khi khai thác thành công, kẻ tấn công cố gắng tải các tệp nhị phân từ xa có tên M2.png và M4.png bằng Trình cài đặt Windows (msiexec).
Cả hai tệp MSI đều chứa một tệp thực thi .NET 32 bit có tên dllloader, nó sẽ tải một tải trọng được mã hóa Base64 có tên là EncDLL. Tệp EncDLL hoạt động giống như ransomware. Nó sẽ tìm kiếm và kết thúc một bộ quy trình cụ thể trước khi bắt đầu quá trình mã hóa và thêm phần mở rộng “.locked” vào các tệp đã mã hóa.
Nguồn ảnh: Shadowserver Foundation
Shadowserver Foundation cho biết họ đã tìm thấy 3326 phiên bản ActiveMQ có thể truy cập internet dễ bị nhiễm CVE-2023-46604 kể từ ngày 1 tháng 11 năm 2023. Phần lớn các máy chủ dễ bị tấn công nằm ở Trung Quốc, Mỹ, Đức, Hàn Quốc và Ấn Độ.
Do lỗ hổng đang bị khai thác tích cực, người dùng nên cập nhật lên phiên bản cố định của ActiveMQ càng sớm càng tốt và kiểm tra mạng nội bộ để tìm các dấu hiệu xâm phạm.