趋势科技研究人员注意到 ,除了HelloKitty 和 TellYouThePass勒索软件团伙之外,Kinsing 僵尸网络的运营商也利用了关键的Apache ActiveMQ(CVE-2023-46604)漏洞。
恶意软件运营商正在ActiveMQ服务器上积极使用 CVE-2023-46604 来破坏Linux系统并部署加密货币挖矿程序。一旦被利用,该漏洞会导致远程代码执行 (RCE),Kinsing 利用该漏洞下载并安装恶意软件。该漏洞本身是由于 OpenWire 命令无法验证可抛出类类型而导致的 RCE。
ActiveMQ(用Java编写)是Apache开发的开源协议,用于实现面向消息的中间件(MOM)。它的主要功能是在不同应用程序之间发送消息。它还包括 STOMP、Jakarta Messaging (JMS) 和 OpenWire 等附加功能。
Kinsing背后的操控者因利用经常被系统管理员忽视的已知漏洞而闻名, 比如 Log4Shell 或 Atlassian Confluence RCE 等已公开漏洞。
研究人员指出,Kinsing利用ProcessBuilder方法来执行 bash 恶意脚本,并从各种架构的命令与控制 (C&C) 服务器下载额外的二进制文件和有效负载,并加载到受感染的设备上。
该方法的优点在于,它允许恶意软件以高度的控制和灵活性执行复杂的命令和脚本,同时避免检测。
在启动其加密货币挖掘工具之前, Kinsing通过终止所有相关进程、crontab 和活动网络连接来检查机器中是否有其他竞争对手的门罗币挖矿进程。
然后,它使用 cronjob 建立持久性,该 cronjob 会获取最新版本的感染脚本,并将 rootkit 添加到 /etc/ld.so.preload。
添加 Rootkit 可确保每次系统上运行进程时都会执行其代码,同时保持相对隐蔽且难以删除。
随着利用 CVE-2023-46604 的攻击者数量逐渐增加,使用 Apache ActiveMQ 的企业必须立即采取行动,尽快修补 CVE-2023-46604 ,以减轻与 Kinsing 相关的风险。鉴于恶意软件能够跨网络传播并利用多个漏洞,维护最新的安全补丁、定期审核配置并监控网络流量是否存在异常活动非常重要,所有这些都是全面网络安全策略的关键组成部分。
受影响的ActiveMQ版本
以下列表详细介绍了易受 CVE-2023-46604 影响的 Apache ActiveMQ 版本:
- Apache ActiveMQ 5.18.0 5.18.3 之前的版本
- Apache ActiveMQ 5.17.0 5.17.6 之前的版本
- Apache ActiveMQ 5.16.0 5.16.7 之前的版本
- Apache ActiveMQ 5.15.16 之前的版本
- Apache ActiveMQ 旧版 OpenWire 模块 5.18.0 之前的 5.18.3
- Apache ActiveMQ 旧版 OpenWire 模块 5.17.0 之前的 5.17.6
- Apache ActiveMQ 旧版 OpenWire 模块 5.16.0 之前的 5.16.7
- Apache ActiveMQ 旧版 OpenWire 模块 5.8.0 5.15.16 之前的版本
建议用户将 Java OpenWire 代理和客户端升级到版本 5.15.16、5.16.7、5.17.6 或 5.18.3,因为其中任何版本都可以修复该问题。