Detección de CVE-2023-46604: Mantenedores de HelloKitty Ransomware Explotan Vulnerabilidad RCE en Apache ActiveMQ

[post-views]
noviembre 02, 2023 · 3 min de lectura
Detección de CVE-2023-46604: Mantenedores de HelloKitty Ransomware Explotan Vulnerabilidad RCE en Apache ActiveMQ

Al llegar noviembre, justo después de revelar CVE-2023-43208, la vulnerabilidad de Mirth Connect, aparece otro error de seguridad en la escena. Los defensores notifican a la comunidad global sobre un nuevo error RCE de máxima gravedad descubierto que afecta a los productos Apache ActiveMQ.

Detectar CVE-2023-46604

Con las vulnerabilidades emergentes siendo un objetivo atractivo para adversarios que buscan explotar errores para futuros ataques, los profesionales de seguridad requieren una fuente confiable de contenido de detección para mantenerse al tanto de nuevas amenazas y defenderse proactivamente. El equipo de SOC Prime ha lanzado recientemente una regla Sigma curada destinada a identificar posibles intentos de explotación de CVE-2023-46604, un error crítico en Apache ActiveMQ que está siendo activamente explotado en la práctica por operadores de ransomware.

Posibles Indicadores de Explotación de CVE-2023-46604 (Ejecución Remota de Código en Apache ActiveMQ) (mediante palabras clave)

La regla anterior ayuda a detectar actividad maliciosa asociada con intentos de explotación de CVE-2023-46604. La detección es compatible con 15 formatos de SIEM, EDR, XDR y Data Lake y está mapeada al marco MITRE ATT&CK abordando tácticas de Escalada de Privilegios, con la Explotación para Escalada de Privilegios (T1068) como técnica principal.

Para explorar toda la colección de reglas Sigma para CVEs en tendencia, sumérgete en nuestro repositorio Threat Detection Marketplace que agrega miles de detecciones curadas acompañadas de metadatos extensos, referencias de ATT&CK y CTI, recomendaciones de triaje y otros detalles relevantes. Simplemente haz clic en el botón Explorar Detecciones abajo y profundiza en el conjunto de reglas de detección para ayudarte en tu investigación de amenazas.

Explorar Detecciones

Descripción de CVE-2023-46604

Una investigación por Rapid7 revela posibles intentos de explotación de un nuevo fallo RCE en Apache ActiveMQ rastreado como CVE-2023-46604 en dos configuraciones de cliente separadas. Poseyendo una puntuación CVSS de 10.0, el fallo de seguridad descubierto representa riesgos graves para los usuarios comprometidos.

Los atacantes intentaron instalar binarios de ransomware en los dispositivos afectados, con la intención de extorsionar a las organizaciones objetivo. Los investigadores vinculan la actividad maliciosa con los operadores del ransomware HelloKitty basándose en la nota de rescate y la prueba que obtuvieron durante la investigación relacionada con el código fuente filtrado del grupo hace un mes.

CVE-2023-46604 permite a un actor remoto, con acceso a la red a un broker, ejecutar comandos shell arbitrarios. Esto podría lograrse abusando de los tipos de clase serializados dentro del protocolo OpenWire, incitando al broker a crear instancias de cualquier clase disponible en el classpath. Después de explotar exitosamente CVE-2023-46604, los adversarios proceden a cargar binarios remotos nombrados usando el Instalador de Windows. Ambos contienen un ejecutable .NET de 32 bits llamado “dllloader,” el cual a su vez, carga una carga útil codificada en Base64 que actúa de manera similar a un ransomware.

The El código de explotación de PoC para CVE-2023-46604 también se ha lanzado en GitHub. Los defensores afirman que actualmente más de 3,000 instalaciones de ActiveMQ podrían estar expuestas a intentos de explotación de CVE-2023-46604. Los investigadores de Rapid7 también han emitido destacados técnicos de CVE-2023-46604 en AttackerKB, cubriendo los detalles de explotación y medidas de remediación.

Según la advertencia de Apache, para mitigar la amenaza, se insta a los usuarios potencialmente afectados a instalar la versión de software 5.15.16, 5.16.7, 5.17.6 o 5.18.3 con las correcciones disponibles para el problema.

Debido a la explotación activa de CVE-2023-46604 y la divulgación pública del PoC, los defensores necesitan una ultra-respuesta para minimizar los riesgos. Explora el Threat Detection Marketplace de SOC Prime para mantenerse al día con los algoritmos de detección más actualizados para cualquier CVE, los últimos TTP del atacante y la inteligencia de amenazas personalizada vinculada al contenido de detección para mejorar la postura de ciberseguridad.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Blog, Últimas Amenazas — 6 min de lectura
Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Veronika Telychko
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Blog, Últimas Amenazas — 5 min de lectura
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Veronika Telychko
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Blog, Últimas Amenazas — 5 min de lectura
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Veronika Telychko