Rilevamento CVE-2023-46604: Gli sviluppatori del ransomware HelloKitty sfruttano la vulnerabilità RCE in Apache ActiveMQ

[post-views]
Novembre 02, 2023 · 4 min di lettura
Rilevamento CVE-2023-46604: Gli sviluppatori del ransomware HelloKitty sfruttano la vulnerabilità RCE in Apache ActiveMQ

All’inizio di novembre, subito dopo aver rivelato CVE-2023-43208, la vulnerabilità di Mirth Connect, un altro bug di sicurezza entra in scena. I difensori avvertono la comunità globale di un nuovo bug RCE di massima gravità che colpisce i prodotti Apache ActiveMQ.

Rileva CVE-2023-46604

Con le vulnerabilità emergenti che diventano un bersaglio allettante per gli avversari che cercano di sfruttare i bug per attacchi futuri, i professionisti della sicurezza necessitano di una fonte affidabile di contenuti di rilevamento per rimanere aggiornati sulle nuove minacce e difendersi proattivamente. Il Team SOC Prime ha recentemente rilasciato una regola Sigma curata per identificare i possibili tentativi di sfruttamento di CVE-2023-46604, un bug critico in Apache ActiveMQ attivamente sfruttato in natura da operatori di ransomware.

Possibili Indicatori di Sfruttamento CVE-2023-46604 (Esecuzione di Codice Remota di Apache ActiveMQ) (via parole chiave)

La regola sopra aiuta a rilevare attività dannose associate ai tentativi di sfruttamento di CVE-2023-46604. Il rilevamento è compatibile con 15 formati SIEM, EDR, XDR e Data Lake e mappato a quadro MITRE ATT&CK indirizzando le tattiche di Elevazione dei Privilegi, con lo Sfruttamento per Elevazione dei Privilegi (T1068) come tecnica principale.

Per esplorare l’intera collezione di regole Sigma per CVE in tendenza, immergiti nel nostro repository Threat Detection Marketplace che aggrega migliaia di rilevamenti curati accompagnati da estese metadati, riferimenti ATT&CK e CTI, raccomandazioni di triage e altri dettagli rilevanti. Basta fare clic sul pulsante Esplora Rilevamenti qui sotto e approfondire il set di regole di rilevamento per assistere nella tua indagine sulle minacce.

Esplora Rilevamenti

Descrizione CVE-2023-46604

Un’indagine di Rapid7 rivela potenziali tentativi di sfruttamento di una nuova falla RCE in Apache ActiveMQ tracciata come CVE-2023-46604 in due configurazioni client separate. Possedendo un punteggio CVSS di 10.0, la falla di sicurezza scoperta pone gravi rischi per gli utenti compromessi.

Gli aggressori hanno tentato di installare binari ransomware sui dispositivi impattati, con l’intento di estorcere le organizzazioni bersaglio. I ricercatori collegano l’attività malevola agli operatori ransomware HelloKitty in base alla nota di riscatto e alle prove ottenute nel corso dell’indagine relative al codice sorgente trapelato del gruppo un mese fa.

CVE-2023-46604 consente a un attore remoto, con accesso alla rete a un broker, di eseguire comandi shell arbitrari. Ciò potrebbe essere ottenuto abusando dei tipi di classi serializzate all’interno del protocollo OpenWire, inducendo il broker a creare istanze di qualsiasi classe disponibile nel classpath. Dopo aver sfruttato con successo CVE-2023-46604, gli avversari procedono a caricare binari remoti denominati utilizzando il Windows Installer. Entrambi contengono un eseguibile .NET a 32 bit chiamato “dllloader”, che a sua volta carica un payload codificato in Base64 che agisce in modo simile a un ransomware.

The Il codice exploit PoC per CVE-2023-46604 è anche rilasciato su GitHub. I difensori dichiarano che attualmente oltre 3.000 installazioni di ActiveMQ potrebbero essere esposte ai tentativi di sfruttamento di CVE-2023-46604. I ricercatori di Rapid7 hanno anche emesso approfondimenti tecnici su CVE-2023-46604 in AttackerKB, coprendo i dettagli dell’exploit e le misure di rimedio.

Secondo l’avviso di Apache, per mitigare la minaccia, gli utenti potenzialmente interessati sono invitati a installare la versione del software 5.15.16, 5.16.7, 5.17.6 o 5.18.3 con le correzioni disponibili per il problema.

A causa dello sfruttamento attivo di CVE-2023-46604 e della divulgazione pubblica del PoC, i difensori necessitano di una ultra-reattività per minimizzare i rischi. Scopri il Threat Detection Marketplace di SOC Prime per rimanere aggiornato con gli algoritmi di rilevamento più recenti per qualsiasi CVE, le ultime TTP degli aggressori e l’intelligence sulle minacce personalizzata collegata al contenuto di rilevamento per migliorare la postura di cybersecurity.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko