ISGroup Consultoría de Ciberseguridad

El ransomware Mauri explota una vulnerabilidad en Apache ActiveMQ

Los actores de amenazas vinculados al ransomware Mauri están explotando una vulnerabilidad crítica en Apache ActiveMQ, identificada como CVE-2023-46604, para instalar CoinMiner y otras herramientas maliciosas. Esta falla de ejecución remota de código permite a los atacantes comprometer servidores ActiveMQ no actualizados, obteniendo el control total del sistema objetivo.

Tras su divulgación pública, la vulnerabilidad ha sido explotada activamente por varios grupos, incluidos Andariel y el ransomware HelloKitty, con actividades de ataque significativas dirigidas a sistemas coreanos.

ProductoApache ActiveMQ
Fecha2024-12-10 16:03:37
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

Comprender CVE-2023-46604

CVE-2023-46604 es una vulnerabilidad de ejecución remota de código en el servidor Apache ActiveMQ, un servidor de código abierto para mensajería y patrones de comunicación. Los atacantes pueden realizar operaciones maliciosas de forma remota modificando los tipos de clase serializados en el protocolo OpenWire.

Fases de explotación:

  • Los actores maliciosos modifican los paquetes para incluir referencias a archivos de configuración XML de clases alojados en URL externas.
  • El servidor comprometido carga el archivo XML del atacante, permitiendo acciones como:
  • Instalación de malware (por ejemplo, Frpc para su uso como proxy inverso).
  • Creación de cuentas con puerta trasera (por ejemplo, “adminCaloX1”) con privilegios elevados, incluido el acceso RDP.

Versiones afectadas

Apache ActiveMQ:

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.15.15 o anteriores

Módulo Apache ActiveMQ Legacy OpenWire:

  • 5.18.0 – 5.18.2
  • 5.17.0 – 5.17.5
  • 5.16.0 – 5.16.6
  • 5.8.0 – 5.15.15

Recomendaciones

Actualización de sistemas:

  • Actualizar Apache ActiveMQ a la última versión disponible para eliminar la vulnerabilidad CVE-2023-46604.

Monitoreo de sistemas:

  • Inspeccionar regularmente los registros en busca de anomalías, particularmente relacionadas con las operaciones del protocolo OpenWire y actividades administrativas inusuales.

Controles de acceso:

  • Limitar el acceso externo a los servicios de ActiveMQ, utilizando VPN o listas blancas de IP para reducir la exposición.

Mitigación temporal:

  • Deshabilitar el soporte al protocolo OpenWire en los servidores ActiveMQ vulnerables si no es posible aplicar el parche de inmediato.

[Callforaction-THREAT-Footer]

In