Aumentam os ataques que exploram uma falha no Apache ActiveMQ

Aumentam os ataques que exploram uma falha no Apache ActiveMQ

Pesquisadores alertam sobre um aumento nos ataques que exploram uma falha agora corrigida no Apache ActiveMQ. Os pesquisadores da Trustwave observaram esse aumento, em muitos casos com o objetivo de entregar um código malicioso que pega emprestado o código do web shell de código aberto Godzilla.

Ataques exploram falha no Apache ActiveMQ

Os agentes de ameaças ocultam o web shell em um formato binário desconhecido, evitando a segurança e os scanners baseados em assinaturas. Uma vez implantado, o mecanismo JSP do ActiveMQ compila e executa o web shell.

Em novembro de 2023, pesquisadores da Rapid7 relataram a suspeita de exploração da vulnerabilidade crítica recentemente divulgada CVE-2023-46604 no Apache ActiveMQ. O Apache ActiveMQ é um software corretor de mensagens de código aberto que serve como uma plataforma de middleware orientada a mensagens (MOM). É desenvolvido pela Apache Software Foundation e escrito em Java. O ActiveMQ fornece recursos de mensagens e comunicação para vários aplicativos, facilitando a troca de dados e a comunicação assíncrona.

O Rapid7 identificou tentativas de exploração da falha CVE-2023-46604 para implantar o ransomware HelloKitty em dois ambientes de clientes diferentes. A CVE-2023-46604 (pontuação CVSS: 10,0) é uma vulnerabilidade de execução remota de código que afeta o Apache ActiveMQ. Um invasor remoto com acesso de rede a um corretor pode explorar essa falha para executar “comandos shell arbitrários manipulando tipos de classes serializadas no protocolo OpenWire para fazer com que o corretor instancie qualquer classe no caminho de classe”.

O Apache corrigiu a falha com o lançamento de novas versões do ActiveMQ em 25 de outubro de 2023. Os pesquisadores apontaram que o código de exploração da prova de conceito e os detalhes da vulnerabilidade estão disponíveis publicamente.

A vulnerabilidade afeta as seguintes versões:

  • ActiveMQ 5.18.0 antes de 5.18.3;
  • ActiveMQ 5.17.0 antes de 5.17.6;
  • ActiveMQ 5.16.0 antes de 5.16.7;
  • ActiveMQ antes de 5.15.16;
  • Módulo OpenWire legado do ActiveMQ 5.18.0 antes de 5.18.3;
  • Módulo OpenWire legado do ActiveMQ 5.17.0 antes de 5.17.6;
  • Módulo OpenWire legado do ActiveMQ 5.16.0 antes de 5.16.7;
  • Módulo OpenWire legado do ActiveMQ 5.8.0 antes de 5.15.16.

Nos ataques observados pela Trustwave SpiderLabs, o arquivo malicioso foi plantado na pasta “admin” dentro do diretório de instalação do ActiveMQ. A pasta contém os scripts do servidor para o console administrativo e de gerenciamento da Web do ActiveMQ.

aumentam-os-ataques-que-exploram-uma-falha-no-apache-activemq
Imagem: Security Affairs

Depois que o web shell for implantado, o agente da ameaça poderá se conectar a ele por meio da interface de usuário de gerenciamento do Godzilla e obter controle total sobre o sistema de destino.