Các nhà nghiên cứu bảo mật đang cảnh báo về hoạt động khai thác được cho là có liên quan đến lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong dịch vụ môi giới tin nhắn nguồn mở Apache ActiveMQ có thể dẫn đến việc thực thi mã từ xa.
Trong một báo cáo gần đây, công ty bảo mật Rapid7 cho biết: “Trong cả hai trường hợp, kẻ tấn công đã cố gắng triển khai các tệp nhị phân ransomware trên các hệ thống mục tiêu nhằm đòi tiền chuộc các tổ chức nạn nhân”.
“Dựa trên thông báo đòi tiền chuộc và bằng chứng sẵn có, chúng tôi cho rằng hoạt động này có liên quan đến nhóm ransomware HelloKitty, mã nguồn của chúng đã bị rò rỉ trên một diễn đàn vào đầu tháng 10.”
Các cuộc xâm nhập được cho là liên quan đến việc khai thác CVE-2023-46604, một lỗ hổng thực thi mã từ xa trong Apache ActiveMQ, cho phép kẻ đe dọa thực thi các lệnh (shell command) tùy ý.
Đáng chú ý, lỗ hổng này có điểm CVSS là 10,0, cho thấy mức độ nghiêm trọng tối đa, ảnh hưởng đến các phiên bản:
- Apache ActiveMQ 5.18.0 trước 5.18.3
- Apache ActiveMQ 5.17.0 trước 5.17.6
- Apache ActiveMQ 5.16.0 trước 5.16.7
- Apache ActiveMQ trước 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 trước 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 trước 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 trước 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 trước 5.15.16
Lỗ hổng đã được giải quyết trong các phiên bản ActiveMQ 5.15.16, 5.16.7, 5.17.6 hoặc 5.18.3 được phát hành vào cuối tháng trước.
Kể từ khi được tiết lộ, mã khai thác (PoC) và các chi tiết kỹ thuật liên quan đến lỗ hổng đã được công khai. Rapid7 lưu ý rằng hành vi mà họ quan sát thấy trong hai mạng nạn nhân “tương tự như những gì chúng tôi dự đoán từ việc khai thác lỗ hổng CVE-2023-46604."
Sau khi khai thác thành công, kẻ tấn công đã cố gắng tải các tệp nhị phân có tên M2.png và M4.png bằng chương trình cài đặt Windows (msiexec).
Cả hai tệp MSI đều chứa một tệp thực thi .NET 32 bit có tên dllloader, dùng để tải một payload được mã hóa Base64 có tên là EncDLL, có chức năng tương tự như ransomware, tìm kiếm và chấm dứt một số tiến trình cụ thể trước khi bắt đầu quá trình mã hóa và thay thổi phần mở rộng của các tệp thành ".locked".
Shadowserver Foundation cho biết họ đã phát hiện 3.326 máy chủ ActiveMQ có thể truy cập internet dễ bị tấn công CVE-2023-46604 kể từ ngày 1 tháng 11 năm 2023. Phần lớn các máy chủ này nằm ở Trung Quốc, Mỹ, Đức, Hàn Quốc và Ấn Độ.
Do lỗ hổng đang bị khai thác tích cực, người dùng nên cập nhật lên phiên bản đã được vá của ActiveMQ càng sớm càng tốt và rà quét toàn bộ mạng của mình để tìm kiếm các dấu hiệu xâm phạm.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Có tới 34 Windows Driver dễ bị tấn công, có thể bị các tác nhân đe dọa khai thác để giành toàn quyền kiểm soát thiết bị và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | F5 đang cảnh báo về việc gia tăng các hoạt động khai thác lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi các lệnh tùy ý trong BIG-IP chưa đầy một tuần sau khi lỗ hổng được tiết lộ công khai.
Tín nhiệm mạng | Atlassian đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Máy chủ và Data Center Confluence có thể dẫn đến việc mất dữ liệu đáng kể nếu bị kẻ tấn công khai thác.
Tín nhiệm mạng | Một nhà nghiên cứu bảo mật đã công bố mã khai thác cho các thiết bị Wyze Cam v3, cho phép tạo một reverse shell và chiếm quyền điều khiển các thiết bị dễ bị tấn công.
Tín nhiệm mạng | Theo các nhà nghiên cứu gian lận tiền điện tử, tin tặc đã đánh cắp 4,4 triệu đô tiền điện tử vào ngày 25 tháng 10 bằng cách sử dụng các khóa bí mật và mật khẩu được lưu trong cơ sở dữ liệu LastPass bị đánh cắp.
Tín nhiệm mạng | Một số ứng dụng Android độc hại trên Google Play, đã có hơn 2 triệu lượt cài đặt, đang lén lút phát tán các quảng cáo không mong muốn đến người dùng trên các thiết bị bị nhiễm.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
