Détection CVE-2023-46604 : Les Mainteneurs du Ransomware HelloKitty Exploitent une Vulnérabilité RCE dans Apache ActiveMQ
Table des matières :
Au tournant de novembre, juste après la divulgation de CVE-2023-43208, la vulnérabilité de Mirth Connect, un autre bug de sécurité fait son apparition. Les défenseurs informent la communauté mondiale d’un nouveau bug RCE de la plus haute sévérité qui affecte les produits Apache ActiveMQ.
Détecter CVE-2023-46604
Avec l’émergence de vulnérabilités étant une cible de choix pour les adversaires cherchant à exploiter des bugs pour de futures attaques, les professionnels de la sécurité ont besoin d’une source fiable de contenu de détection pour rester au top des nouvelles menaces et se défendre de manière proactive. L’équipe de SOC Prime a récemment publié une règle Sigma créée pour identifier les tentatives d’exploitation possibles de CVE-2023-46604, un bug critique dans Apache ActiveMQ étant activement exploité dans la nature par des opérateurs de ransomware.
La règle ci-dessus aide à détecter l’activité malveillante associée aux tentatives d’exploitation de CVE-2023-46604. La détection est compatible avec 15 formats SIEM, EDR, XDR, et Data Lake et mappée au cadre MITRE ATT&CK traitant des tactiques d’escalade de privilèges, avec Exploitation pour l’escalade de privilèges (T1068) comme technique principale.
Pour explorer l’ensemble de la collection de règles Sigma pour les CVE tendances, plongez dans notre dépôt Marketplace de détection de menaces qui regroupe des milliers de détections sélectionnées accompagnées par des métadonnées étendues, des références ATT&CK et CTI, des recommandations de triage, et d’autres détails pertinents. Il suffit de cliquer sur le bouton Explore Detections ci-dessous et d’accéder à l’ensemble de règles de détection pour vous aider dans votre enquête sur les menaces.
Description de CVE-2023-46604
Une enquête par Rapid7 révèle des tentatives d’exploitation potentielles d’une nouvelle faille RCE dans Apache ActiveMQ suivie comme CVE-2023-46604 dans deux paramètres clients distincts. Possédant le score CVSS de 10.0, la faille de sécurité découverte pose des risques graves pour les utilisateurs compromis.
Les attaquants ont tenté d’installer des exécutables de ransomware sur les appareils concernés, avec l’intention d’extorquer les organisations ciblées. Les chercheurs ont lié l’activité malveillante aux opérateurs du ransomware HelloKitty sur la base de la note de rançon et des preuves qu’ils ont obtenues tout au long de l’enquête liée au code source divulgué du groupe il y a un mois.
CVE-2023-46604 permet à un acteur distant, avec accès réseau à un courtier, d’exécuter des commandes shell arbitraires. Cela pourrait être réalisé en abusant des types de classes sérialisées dans le protocole OpenWire, incitant le courtier à créer des instances de n’importe quelle classe disponible sur le chemin de classe. Après avoir exploité avec succès CVE-2023-46604, les adversaires procèdent à charger des binaires distants nommés en utilisant l’installateur Windows. Ils contiennent tous les deux un exécutable .NET 32 bits nommé « dllloader », qui à son tour, charge une charge utile encodée en Base64 qui agit de façon similaire à un ransomware.
The Le code exploit PoC pour CVE-2023-46604 est également publié sur GitHub. Les défenseurs indiquent qu’actuellement plus de 3 000 installations d’ActiveMQ pourraient être exposées aux tentatives d’exploitation de CVE-2023-46604. Les chercheurs de Rapid7 ont également publié des points forts techniques de CVE-2023-46604 dans AttackerKB, couvrant les détails de l’exploitation et les mesures de remédiation.
Selon l’avis d’Apache, pour atténuer la menace, les utilisateurs potentiellement affectés sont instamment invités à installer la version logicielle 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 avec les correctifs disponibles pour le problème.
En raison de l’exploitation active de CVE-2023-46604 et de la divulgation publique du PoC, les défenseurs ont besoin d’une ultra-réactivité pour minimiser les risques. Explorez le Marketplace de détection de menaces de SOC Prime pour rester à jour avec les algorithmes de détection les plus récents pour tous les CVE, les dernières TTP des attaquants, et des renseignements sur les menaces personnalisés liés au contenu de détection pour renforcer la posture de cybersécurité.
