Detecção CVE-2023-46604: Mantenedores do Ransomware HelloKitty Exploram Vulnerabilidade RCE no Apache ActiveMQ
Índice:
No início de novembro, logo após a divulgação de CVE-2023-43208, a vulnerabilidade do Mirth Connect, outro bug de segurança surge na cena. Defensores notificam a comunidade global sobre um recém-descoberto bug RCE de alta gravidade que afeta os produtos Apache ActiveMQ.
Detectar CVE-2023-46604
Com as vulnerabilidades emergentes sendo um alvo atraente para adversários que buscam explorar bugs para futuros ataques, os profissionais de segurança requerem uma fonte confiável de conteúdo de detecção para ficar à frente de novas ameaças e defender proativamente. A equipe do SOC Prime lançou recentemente uma regra Sigma curada destinada a identificar possíveis tentativas de exploração do CVE-2023-46604, um bug crítico no Apache ActiveMQ que está sendo ativamente explorado por operadores de ransomware.
A regra acima ajuda a detectar atividades maliciosas associadas a tentativas de exploração do CVE-2023-46604. A detecção é compatível com 15 formatos SIEM, EDR, XDR e Data Lake e mapeada para framework MITRE ATT&CK abordando táticas de Escalonamento de Privilégios, com Exploração para Escalonamento de Privilégios (T1068) como técnica principal.
Para explorar toda a coleção de regras Sigma para CVEs em destaque, mergulhe em nosso repositório Threat Detection Marketplace, que agrega milhares de detecções curadas acompanhadas por metadados extensos, referências ATT&CK e CTI, recomendações de triagem e outros detalhes relevantes. Basta clicar no botão Explorar Detecções abaixo e aprofundar-se no conjunto de regras de detecção para auxiliar em sua investigação de ameaças.
Descrição do CVE-2023-46604
Uma investigação pela Rapid7 revela possíveis tentativas de exploração de uma nova falha RCE no Apache ActiveMQ, rastreada como CVE-2023-46604 em duas configurações de cliente separadas. Com pontuação CVSS de 10.0, a falha de segurança descoberta apresenta riscos severos aos usuários comprometidos.
Os invasores tentaram instalar binários de ransomware nos dispositivos afetados, com a intenção de extorquir as organizações alvo. Pesquisadores vinculam a atividade maliciosa aos operadores do ransomware HelloKitty com base na nota de resgate e nas provas obtidas ao longo da investigação relacionadas ao código-fonte vazado do grupo há um mês.
CVE-2023-46604 permite que um ator remoto, com acesso à rede a um broker, execute comandos arbitrários de shell. Isso pode ser alcançado abusando dos tipos de classe serializados dentro do protocolo OpenWire, levando o broker a criar instâncias de qualquer classe disponível no classpath. Após explorar com sucesso o CVE-2023-46604, os adversários procedem a carregar binários remotos nomeados usando o Instalador do Windows. Ambos contêm um executável .NET de 32 bits chamado “dllloader”, que por sua vez, carrega uma payload codificada em Base64 que atua de forma semelhante a um ransomware.
The Código de exploração PoC para CVE-2023-46604 também foi liberado no GitHub. Defensores afirmam que atualmente mais de 3.000 instalações do ActiveMQ podem estar expostas a tentativas de exploração do CVE-2023-46604. Pesquisadores da Rapid7 também emitiram destaques técnicos sobre o CVE-2023-46604 no AttackerKB, cobrindo os detalhes de exploração e as medidas de remediação.
De acordo com o aviso da Apache, para mitigar a ameaça, os usuários potencialmente afetados são instados a instalar a versão do software 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 com as correções disponíveis para o problema.
Devido à exploração ativa do CVE-2023-46604 e à divulgação pública do PoC, os defensores precisam de ultra-responsividade para minimizar os riscos. Explore o Threat Detection Marketplace da SOC Prime para acompanhar os algoritmos de detecção mais atualizados para qualquer CVE, as mais recentes TTPs dos atacantes e inteligência de ameaças personalizada vinculada ao conteúdo de detecção para uma postura de cibersegurança aprimorada.
