ISGroup Cybersicherheitsberatung

Die Ransomware Mauri nutzt eine Schwachstelle in Apache ActiveMQ aus.

Akteure hinter der Mauri-Ransomware nutzen eine kritische Schwachstelle in Apache ActiveMQ aus, die als CVE-2023-46604 identifiziert wurde, um CoinMiner und andere schädliche Tools zu installieren. Diese Schwachstelle für die Remote-Code-Ausführung ermöglicht es Angreifern, nicht aktualisierte ActiveMQ-Server zu kompromittieren und die vollständige Kontrolle über das Zielsystem zu erlangen.

Seit ihrer öffentlichen Bekanntgabe wird die Schwachstelle aktiv von verschiedenen Gruppen ausgenutzt, darunter Andariel und die HelloKitty-Ransomware, wobei signifikante Angriffsaktivitäten auf koreanische Systeme gerichtet waren.

ProduktApache ActiveMQ
Datum10.12.2024 16:03:37
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Verständnis von CVE-2023-46604

CVE-2023-46604 ist eine Schwachstelle zur Remote-Code-Ausführung im Apache ActiveMQ-Server, einem Open-Source-Server für Messaging- und Kommunikationsmuster. Angreifer können aus der Ferne schädliche Operationen ausführen, indem sie die serialisierten Klassentypen im OpenWire-Protokoll manipulieren.

Phasen der Ausnutzung:

  • Bösartige Akteure modifizieren Pakete, um Verweise auf XML-Konfigurationsdateien von Klassen einzubinden, die auf externen URLs gehostet werden.
  • Der kompromittierte Server lädt die XML-Datei des Angreifers, was Aktionen ermöglicht wie:
  • Installation von Malware (z. B. Frpc zur Verwendung als Reverse Proxy).
  • Erstellung von Konten mit Backdoors (z. B. „adminCaloX1“) mit erweiterten Privilegien, einschließlich RDP-Zugriff.

Betroffene Versionen

Apache ActiveMQ:

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.15.15 oder früher

Apache ActiveMQ Legacy OpenWire-Modul:

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.8.0 – 5.15.15

Empfehlungen

Aktualisierung der Systeme:

  • Aktualisieren Sie Apache ActiveMQ auf die neueste verfügbare Version, um die Schwachstelle CVE-2023-46604 zu beheben.

Überwachung der Systeme:

  • Überprüfen Sie regelmäßig die Protokolle auf Anomalien, insbesondere in Bezug auf Operationen des OpenWire-Protokolls und ungewöhnliche administrative Aktivitäten.

Zugriffskontrollen:

  • Beschränken Sie den externen Zugriff auf ActiveMQ-Dienste unter Verwendung von VPNs oder IP-Whitelists, um die Angriffsfläche zu verringern.

Temporäre Schadensbegrenzung:

  • Deaktivieren Sie die Unterstützung für das OpenWire-Protokoll auf anfälligen ActiveMQ-Servern, falls der Patch nicht sofort angewendet werden kann.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *