CVE-2023-46604 の検出: HelloKittyランサムウェアの管理者がApache ActiveMQのRCE脆弱性を悪用

[post-views]
11月 02, 2023 · 6 分で読めます
CVE-2023-46604 の検出: HelloKittyランサムウェアの管理者がApache ActiveMQのRCE脆弱性を悪用

11月に入ると、公開されたばかりの CVE-2023-43208、Mirth Connectの脆弱性に続いて、また別のセキュリティバグが現れました。ディフェンダーが、Apache ActiveMQ製品に影響を与える新たな最高深刻度のRCEバグを発見し、グローバルコミュニティに通知します。

CVE-2023-46604を検出

今後の攻撃のためにバグを武器化しようとする攻撃者にとって新たな脆弱性が魅力的なターゲットとなる中、セキュリティ専門家は新たな脅威に対応し、積極的に防御するための信頼できる検出コンテンツの源を必要としています。SOC Primeチームは、Apache ActiveMQの重大なバグで、ランサムウェアオペレーターによって野外で積極的に悪用されているCVE-2023-46604の探索的試行を特定することを目的としたキュレーションされたSigmaルールを最近リリースしました。

CVE-2023-46604 (Apache ActiveMQリモートコード実行) の可能性がある悪用指標 (キーワード経由)

上記ルールは、CVE-2023-46604の悪用試行に関連する悪質な活動を検出する手助けをします。この検出は、15のSIEM、EDR、XDR、データレイクフォーマットと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています 特権昇格戦術に対処し、エクスプロイトによる特権昇格 (T1068) を主な技術として使用します。

トレンドのCVEs用のSigmaルールの全コレクションを探るために、詳しいメタデータ、ATT&CKおよびCTIの参照、トリアージの推奨事項、およびその他の関連詳細を伴った数千のキュレーションされた検出を集約した私たちのThreat Detection Marketplaceリポジトリを探索してください。検出探索ボタンを押して、脅威調査を支援する検出ルールセットを深掘りしてください。

検出を探索

CVE-2023-46604の説明

Rapid7による調査 は、CVE-2023-46604として追跡されるApache ActiveMQの新しいRCE欠陥の潜在的な悪用試行を2つの異なるクライアント設定で明らかにしました。CVSSスコアが10.0であるこの未発表のセキュリティ欠陥は、被害を受けたユーザーに深刻なリスクをもたらします。

攻撃者は、影響を受けたデバイスにランサムウェアバイナリをインストールしようとし、対象組織からの高額な要求を目的としていました。研究者らは、ランサムノートに基づいて、この悪質な活動をHelloKittyランサムウェアオペレーターと関連付け、1か月前に関連するグループのリークされたソースコードから得た証拠を入手しました。

CVE-2023-46604 は、ネットワークアクセスを持つリモートアクターがブローカー上で任意のシェルコマンドを実行できるようにします。これは、OpenWireプロトコル内のシリアル化されたクラス型を悪用することによって達成され、クラスパス上の任意のクラスのインスタンスを作成するようにブローカーを促します。CVE-2023-46604を正常に悪用した後、攻撃者はWindowsインストーラを使用して命名されたリモートバイナリをロードし進行します。どちらも“dllloader”という名前の32ビット.NET実行ファイルを含んでおり、ランサムウェアのように動作するBase64エンコードされたペイロードをロードします。

The CVE-2023-46604のPoCエクスプロイトコード もGitHubで公開されています。ディフェンダーは現在、3,000以上のActiveMQインストールがCVE-2023-46604の悪用試行にさらされる可能性があると述べています。Rapid7の研究者は、詳細にわたる 技術的なハイライト をAttackerKBで発行し、エクスプロイトの詳細と緩和策をカバーしています。

によると、 Apacheのアドバイザリでは、脅威を緩和するために、潜在的な影響を受けるユーザーには問題の修正が可能なソフトウェアバージョン5.15.16、5.16.7、5.17.6、または5.18.3をインストールするよう推奨しています。

CVE-2023-46604の積極的な利用とPoCの公表により、ディフェンダーはリスクを最小化するために迅速に対応する必要があります。SOC Primeの Threat Detection Marketplace を探索し、最新の攻撃者TTP、検出コンテンツに関連付けられたカスタマイズされた脅威インテリジェンスを活用して、サイバーセキュリティの態勢を強化するための最新の検出アルゴリズムに追随しましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko