Apache 软件基金会 (ASF)于 10 月 27 日披露了一个被追踪为CVE-2023-46604的漏洞,允许有权访问 ActiveMQ 消息代理的远程攻击者在受影响的系统上执行任意命令。Rapid7 的研究人员报告称,在ASF 披露漏洞的同一天,就观察到了两个针对该漏洞的利用活动。
Rapid7 托管检测和响应团队的研究人员在博客文章中表示,攻击者都试图在目标系统上部署勒索软件二进制文件,以勒索受害者。
研究人员根据勒索信息和其他攻击属性,将恶意活动归因于 HelloKitty 勒索软件。至少从 2020 年起,HelloKitty 勒索软件活动就一直在蔓延。作为向受害者勒索赎金的额外手段,其运营人员倾向于进行双重勒索攻击,不仅加密数据,还窃取数据。
Rapid7 威胁研究主管凯特琳·康登 (Caitlin Condon) 表示,该漏洞的利用代码已公开,研究人员已经确认了可利用性。Rapid7 观察到的威胁活动看起来像是自动利用,而且并不是特别复杂,因此建议企业组织迅速修补,以防止潜在的利用。
超过 3000 个系统容易受到攻击
根据 ShadowServer 组织 10 月 30 日发布的数据,约有 3329 个连接互联网的 ActiveMQ 系统容易受到 CVE-2023-46604 的攻击。
ActiveMQ 是一个相对流行的开源代码消息中间件,可促进不同应用程序、服务和系统之间的消息传递。ASF将该技术描述为“最流行的开源、多协议、基于 Java 的消息代理”。数据分析公司Enlyft估计约有 13120 家公司(大多数是中小型公司)使用 ActiveMQ。
CVE-223-466604 是一个不安全的反序列化错误,当应用程序在未首先验证数据是否有效的情况下反序列化不受信任或受操纵的数据时,就会发生这种漏洞。攻击者经常通过发送恶意制作的对象来利用此类缺陷,该对象在反序列化时会执行恶意或未经授权的代码,从而导致违规和任意代码执行。不安全的反序列化错误很常见,并且多年来一直是 OWASP 十大网络应用程序漏洞类型列表中的常客。
