CVE-2023-46604 Detection: HelloKitty Ransomware Maintainers Exploits RCE Vulnerability in Apache ActiveMQ

11월 초, 공개 직후 CVE-2023-43208, Mirth Connect 취약점, 또 다른 보안 버그가 등장했습니다. 방어자들은 Apache ActiveMQ 제품에 영향을 미치는 새로 발견된 최고 심각도의 RCE 버그를 전 세계 커뮤니티에 알립니다.

CVE-2023-46604 탐지

새로운 위협의 정점을 유지하고 사전 방어를 위해 신뢰할 수 있는 탐지 콘텐츠가 필요한 상황에서, SOC Prime 팀은 현장에서 랜섬웨어 운영자에 의해 적극적으로 악용되고 있는 Apache ActiveMQ의 중요 버그 CVE-2023-46604의 잠재적 악용 시도를 식별하기 위한 큐레이팅된 Sigma 규칙을 최근에 발표했습니다.

가능성 있는 CVE-2023-46604 (Apache ActiveMQ 원격 코드 실행) 악용 지표 (키워드를 통해)

위 규칙은 CVE-2023-46604 악용 시도와 연관된 악의적인 활동을 탐지하는 데 도움을 줍니다. 이 탐지는 15개의 SIEM, EDR, XDR, 데이터 레이크 포맷과 호환되며 MITRE ATT&CK 프레임워크에 매핑됩니다 권한 상승 전술에 대한 것을 다루며, 주요 기술로는 Exploitation for Privilege Escalation (T1068)을 다룹니다.

유행하는 CVE에 대한 전체 Sigma 규칙 컬렉션을 탐색하려면, 수천 개의 큐레이팅된 탐지와 풍부한 메타데이터, ATT&CK 및 CTI 참고 자료, 초기 조사 권장 사항 및 기타 관련 세부정보가 수록된 Threat Detection Marketplace 리포지토리에 접속하세요. 아래에서 탐지 탐색 버튼을 클릭하고 위협 조사를 지원할 탐지 규칙 세트를 자세히 살펴보세요.

탐지 탐색

CVE-2023-46604 설명

Rapid7의 조사는 Apache ActiveMQ에서 CVE-2023-46604로 추적된 새로운 RCE 결함에 대한 잠재적인 악용 시도를 두 개의 별도 클라이언트 설정에서 밝혀냈습니다. CVSS 점수 10.0을 가진 이 발견된 보안 결함은 손상된 사용자에게 심각한 위험을 초래합니다.

공격자들은 영향을 받은 장치에 랜섬웨어 바이너리를 설치하려고 시도했으며, 표적 기관에 대한 협박을 목적으로 하고 있었습니다. 연구자들은 협박 메모와 해당 그룹의 누출된 소스 코드와 관련된 조사 결과에 기반해, 이 악의적인 활동을 HelloKitty 랜섬웨어 운영자들과 연결했습니다.

CVE-2023-46604 네트워크 접근이 가능한 브로커가 있는 원격 공격자가 임의의 셸 명령을 실행할 수 있게 합니다. 이는 OpenWire 프로토콜 내의 직렬화된 클래스 유형을 악용하여 브로커가 클래스 경로에 있는 임의의 클래스 인스턴스를 생성하도록 함으로써 달성될 수 있습니다. CVE-2023-46604을 성공적으로 악용한 후, 공격자들은 윈도우 인스톨러를 사용하여 이름이 지정된 원격 바이너리를 로드합니다. 이는 모두 32비트 .NET 실행 파일인 “dllloader”를 포함하고 있으며, 이는 차례로 랜섬웨어와 유사하게 작동하는 Base64로 인코딩된 페이로드를 로드합니다.

The CVE-2023-46604에 대한 PoC 익스플로잇 코드 는 GitHub에 공개되었습니다. 방어자들은 현재 3,000개 이상의 ActiveMQ 설치가 CVE-2023-46604 악용 시도에 노출될 수 있다고 말합니다. Rapid7 연구원들도 심층적인 기술적 하이라이트 를 AttackerKB에 게시하여 익스플로잇 세부 정보와 해결책을 다루고 있습니다.

에 따르면 Apache의 권고안에 따르면, 위협을 완화하기 위해 잠재적으로 영향을 받는 사용자는 문제에 대한 수정 사항이 포함된 소프트웨어 버전 5.15.16, 5.16.7, 5.17.6, 또는 5.18.3을 설치할 것을 권장합니다.

CVE-2023-46604의 적극적인 악용과 PoC의 공개로 인해, 방어자들은 위험을 최소화하기 위해 초고속 대응이 필요합니다. SOC Prime의 Threat Detection Marketplace 을 탐색하여 최신 칩셋의 모든 CVE, 최신 공격자 TTP, 맞춤형 위협 인텔리전스와 연결된 탐지 콘텐츠로 강화된 사이버 보안 태세를 지원하세요.