©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Malware Kinsing Explora Vulnerabilidade Apache ActiveMQ para Implantar Rootkits

Agente de ameaça do malware Kinsing vem explorando ativamente uma vulnerabilidade crítica no Apache ActiveMQ

Leovan Reis

2 min read
Malware Kinsing Explora Vulnerabilidade Apache ActiveMQ para Implantar Rootkits

O operador do malware Kinsing está explorando ativamente uma vulnerabilidade crítica no broker de mensagens de código aberto Apache ActiveMQ para comprometer sistemas Linux. A vulnerabilidade, CVE-2023-46604, permite a execução remota de código (RCE) e foi corrigida no final de outubro.

Os pesquisadores descobriram que milhares de servidores permaneceram expostos a ataques após o lançamento do patch e gangues de ransomware como HelloKitty e TellYouThePass começaram a aproveitar a oportunidade.

Detalhes

O malware Kinsing visa sistemas Linux e seu operador é conhecido por aproveitar falhas que são frequentemente negligenciadas pelos administradores de sistema. Anteriormente, eles contavam com o Log4Shell e um bug de RCE do Atlassian Confluence para seus ataques.

Para explorar a vulnerabilidade CVE-2023-46604, o malware Kinsing usa o método  ProcessBuilder para executar scripts bash maliciosos e baixar cargas úteis adicionais no dispositivo infectado. 

A vantagem desse método é que ele permite que o malware execute comandos e scripts complexos com alto grau de controle e flexibilidade, ao mesmo tempo em que evade a detecção.

Uma vez instalado, o malware Kinsing executa as seguintes etapas:

  1. Verifica se há mineradores Monero concorrentes na máquina, matando quaisquer processos relacionados, crontabs e conexões de rede ativas.
  2. Estabelece persistência por meio de um cronjob que busca a versão mais recente de seu script de infecção (bootstrap) e também adiciona um rootkit em ./etc/ld.so.preload
  3. O rootkit garante que o código malicioso seja executado com cada processo iniciado no sistema, enquanto permanece relativamente oculto e difícil de remover.

Versões afetadas do ActiveMQ

  • Apache ActiveMQ 5.18.0 antes de 5.18.3
  • Apache ActiveMQ 5.17.0 antes de 5.17.6
  • Apache ActiveMQ 5.16.0 antes de 5.16.7
  • Apache ActiveMQ antes de 5.15.16
  • Apache ActiveMQ Legacy OpenWire Module 5.18.0 antes da 5.18.3
  • Apache ActiveMQ Legacy OpenWire Module 5.17.0 antes da 5.17.6
  • Apache ActiveMQ Legacy OpenWire Module 5.16.0 antes da 5.16.7
  • Apache ActiveMQ Legacy OpenWire Module 5.8.0 antes da 5.15.16

Mitigação

Para mitigar a ameaça, os administradores de sistema são recomendados a atualizar o Apache ActiveMQ para as versões 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, que resolvem o problema de segurança.

A vulnerabilidade CVE-2023-46604 é uma ameaça significativa para organizações que usam o Apache ActiveMQ. Os administradores devem tomar medidas imediatas para mitigar a ameaça, atualizando seus sistemas para as versões mais recentes e implementando controles de segurança adicionais.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui

Inscreva-se para mais como este.

Enter your email
Subscribe