Erkennung von CVE-2023-46604: HelloKitty Ransomware Wartungsdienste nutzen RCE-Schwachstelle in Apache ActiveMQ aus
Inhaltsverzeichnis:
An der Wende des November, kurz nachdem die Offenlegung von CVE-2023-43208, der Mirth-Connect-Schwachstelle, eine andere Sicherheitslücke aufgetreten ist. Verteidiger informieren die globale Gemeinschaft über einen neu entdeckten RCE-Fehler der höchsten Schwere, der Apache ActiveMQ-Produkte betrifft.
Entdecken Sie CVE-2023-46604
Da aufkommende Schwachstellen ein verlockendes Ziel für Gegner sind, die Schwachstellen für zukünftige Angriffe ausnutzen möchten, benötigen Sicherheitsexperten eine zuverlässige Quelle für Erkennungsinhalte, um über neue Bedrohungen informiert zu bleiben und proaktiv zu verteidigen. Das SOC Prime-Team hat kürzlich eine kuratierte Sigma-Regel veröffentlicht, die darauf abzielt, mögliche CVE-2023-46604-Ausnutzungsversuche zu identifizieren, einen kritischen Fehler in Apache ActiveMQ, der in freier Wildbahn aktiv von Ransomware-Operatoren ausgenutzt wird.
Die obige Regel hilft, bösartige Aktivitäten im Zusammenhang mit CVE-2023-46604-Ausnutzungsversuchen zu erkennen. Die Erkennung ist kompatibel mit 15 SIEM-, EDR-, XDR- und Data-Lake-Formaten und ist verbunden mit dem MITRE ATT&CK Framework und bezieht sich auf Taktiken zur Privilegieneskalation, wobei Ausnutzung zur Privilegieneskalation (T1068) die Haupttechnik ist.
Um die gesamte Sammlung von Sigma-Regeln für aktuelle CVEs zu erkunden, tauchen Sie in unser Threat Detection Marketplace-Repo ein, das Tausende von kuratierten Erkennungen mit umfangreichen Metadaten, ATT&CK- und CTI-Referenzen, Triagempfehlungen und anderen relevanten Details aggregiert. Klicken Sie einfach unten auf die Schaltfläche ‚Erkennungen Erkunden‘ und dringen Sie bis zum Erkennungsregel-Satz vor, um Ihre Bedrohungsuntersuchung zu unterstützen.
Beschreibung von CVE-2023-46604
Eine Untersuchung von Rapid7 deckt potenzielle Ausnutzungsversuche einer neuen RCE-Schwachstelle in Apache ActiveMQ auf, die als CVE-2023-46604 in zwei verschiedenen Kundeneinstellungen verfolgt wird. Mit einem CVSS-Score von 10,0 stellt die entdeckte Sicherheitslücke erhebliche Risiken für die kompromittierten Benutzer dar.
Angreifer versuchten, Ransomware-Binaries auf den betroffenen Geräten zu installieren, mit der Absicht, die Zielorganisationen zu erpressen. Forscher verknüpfen die bösartige Aktivität mit den HelloKitty-Ransomware-Operatoren basierend auf der Lösegeldforderung und den Beweisen, die sie während der Untersuchung im Zusammenhang mit dem geleakten Quellcode der Gruppe vor einem Monat gesammelt haben.
CVE-2023-46604 ermöglicht es einem entfernten Benutzer mit Netzwerkzugang zu einem Broker, beliebige Shell-Befehle auszuführen. Dies könnte erreicht werden, indem serialisierte Klassentypen innerhalb des OpenWire-Protokolls missbraucht werden, wodurch der Broker Instanzen jeder auf dem Klassenpfad verfügbaren Klasse erstellt. Nach erfolgreicher Ausnutzung von CVE-2023-46604 gehen die Angreifer dazu über, entfernte Binärdateien zu laden, die mithilfe des Windows-Installers benannt werden. Beide enthalten eine 32-Bit-.NET-Ausführbare namens „dllloader“, die wiederum eine Base64-codierte Nutzlast lädt, die ähnlich wie Ransomware funktioniert.
The PoC-Ausnutzungscode für CVE-2023-46604 wurde ebenfalls auf GitHub veröffentlicht. Verteidiger geben an, dass derzeit über 3.000 ActiveMQ-Installationen möglicherweise den Ausnutzungsversuchen von CVE-2023-46604 ausgesetzt sind. Die Rapid7-Forscher haben ebenfalls detaillierte technische Highlights von CVE-2023-46604 in AttackerKB veröffentlicht, die die Exploit-Details und Abhilfemaßnahmen abdecken.
Laut der Apache-Warnung, um die Bedrohung zu mindern, werden potenziell betroffene Benutzer dringend aufgefordert, die Softwareversionen 5.15.16, 5.16.7, 5.17.6 oder 5.18.3 zu installieren, mit verfügbaren Korrekturen für das Problem.
Aufgrund der aktiven Ausnutzung von CVE-2023-46604 und der öffentlichen Offenlegung des PoC müssen Verteidiger äußerst reaktionsschnell sein, um die Risiken zu minimieren. Erkunden Sie den Threat Detection Marketplace von SOC Prime um mit den aktuellsten Erkennungsalgorithmen für alle CVEs, die neuesten Angreifer-TTPs und maßgeschneiderte Bedrohungsinformationen Schritt zu halten, die mit den Erkennungsinhalten für eine verbesserte Cybersicherheitslage verbunden sind. to keep up with the most up-to-date detection algorithms for any CVEs, the latest attacker TTPs, and tailored threat intelligence linked to the detection content for enhanced cybersecurity posture.
