.
Pesquisadores de segurança confirmaram que os criminosos de ransomware estão aproveitando uma vulnerabilidade de gravidade máxima no Apache ActiveMQ.
Anunciada em 25 de outubro e rastreada como CVE-2023-46604, a vulnerabilidade de desserialização insegura permite a execução remota de código (RCE) nas versões afetadas.
“O Apache ActiveMQ é vulnerável à execução remota de código”, disse o Apache em seu consultivo. “A vulnerabilidade pode permitir que um invasor remoto com acesso de rede a um corretor execute comandos shell arbitrários, manipulando tipos de classes serializadas no protocolo OpenWire para fazer com que o corretor instancie qualquer classe no caminho de classe.”
Os desenvolvedores lançaram correções para as versões afetadas no mesmo dia, com todos os usuários instados a atualizar o mais rápido possível.
As versões afetadas incluem:
- Versões 5.18.0 anteriores a 5.18.3
- Versões 5.17.0 anteriores a 5.17.6
- Versões 5.16.0 anteriores a 5.16.7
- Todas as versões anteriores a 5.15.16
- Versões do Módulo OpenWire 5.18.0 anteriores a 5.18.3
- Versões do Módulo OpenWire 5.17.0 anteriores a 5.17.6
- Versões do Módulo OpenWire 5.16.0 anteriores a 5.16.7
- Versões do Módulo OpenWire 5.8.0 anteriores a 5.15.16
A loja de segurança Rapid7 publicou agora sua própria investigação sobre a exploração ativa do problema em dois ambientes de seus clientes, revelando que ambos foram alvo de ransomware.
“Com base na nota de resgate e nas evidências disponíveis, atribuímos a atividade à família de ransomware HelloKitty, cujo código-fonte vazou em um fórum no início de outubro”, disse. disse.
“O Rapid7 observou indicadores semelhantes de comprometimento nos ambientes de clientes afetados, ambos executando versões desatualizadas do Apache ActiveMQ.”
A atribuição do ataque não foi firmemente atribuída à HelloKitty ou a uma de suas afiliadas. Ainda existe a possibilidade de que um invasor solitário tenha usado o código-fonte da variante 2020 do grupo que vazou no mês passado nos ataques.
A avaliação dos peritos sobre as tentativas de implantação ransomware era que eles eram “desajeitados”. Indicando um indivíduo potencialmente pouco qualificado por trás dos ataques, Rapid7 disse que mais de meia dúzia de tentativas de criptografar arquivos foram feitas – todas sem sucesso.
A Shadowserver, organização sem fins lucrativos de segurança da Internet, começou a rastrear serviços Apache ActiveMQ vulneráveis em 30 de outubro e descobriu que quase metade de todos os serviços acessíveis (3.329) eram vulneráveis ao CVE-2023-46604.
O mais recente disponível leituratirada em 1º de novembro, mostra que apenas 105 serviços foram corrigidos, deixando consideravelmente mais de 3.000 ainda abertos a ataques.
A maioria dos serviços vulneráveis está baseada na China, com 1.349 ainda sem correção. A próxima nação mais vulnerável são os EUA, com 530, e depois a Alemanha, com 154.
HelloKitty em resumo
O grupo HelloKitty é talvez o mais famoso por seu 2021 ataque ao CD Projekt Red. Ei gatinha supostamente vendeu os dados da empresa – que supostamente incluíam o código-fonte de seus jogos principais – a um licitante não identificado após um leilão, cujo valor de compra foi definido em US$ 7 milhões.
De acordo com os pesquisadores da Emsisoft, os dados foram vendidos sob a condição de que não fossem vazados pelo comprador, embora eles tenham dito que o cenário mais provável é que ninguém quisesse comprar os dados e a HelloKitty alegou falsamente que eles foram vendidos para salvar a aparência. Meses depois, a editora de videogames tomou conhecimento que seus dados estavam circulando online.
Visto pela primeira vez em 2020, o grupo é conhecido principalmente por ter como alvo pequenas empresas, de acordo com SentinelaOnee muda suas ferramentas e táticas regularmente.
Foi originalmente pensado para atingir apenas máquinas Windows, mas em 2021 uma variante do Linux foi descoberta, um descoberta isso levou os pesquisadores a encontrar versões anteriores do Linux que datam da época da formação do grupo.
Um agora removido divulgação de violação de dados em uma empresa de saúde do Oregon revelou anteriormente que o Federal Bureau of Investigations acreditava que o grupo operava fora da Ucrânia, mas nem o FBI nem quaisquer especialistas em segurança atribuíram oficialmente o grupo a indivíduos no país. ®
.
