ActiveMQ CVE-2023-46604 sérülékenység kihasználásának elemzése

Editors' Pick

2023. november elején több jelentés is beszámolt az ActiveMQ CVE-2023-46604 sérülékenység kihasználásáról a HelloKitty ransomware telepítése céljából. November elején Proof of Concept és Metasploit kihasználási modulokat tettek közzé. Mindezek a tényezők arra késztették a Sekoia kutatóit, hogy az ActiveMQ sérülékeny Linux-verzióját honeypot-ként telepítsék, hogy figyelemmel kísérjék a sérülékenység kihasználását. A Sekoia hhoneypot-ját viszonylag gyorsan megtámadta Kinsing. Bár a sérülékenységet néhány reverse shell telepítésére is kihasználták, a Sekoia megfigyelései alapján a Kinsing továbbra is az egyetlen nagyobb behatolási készlet (IS).

A Sekoia blogbejegyzése a CVE-2023-46604 sérülékenység Kinsing általi kihasználásának technikai elemzését, valamint ennek az IS-nek a részletesebb elemzését kívánja bemutatni, beleértve az infrastruktúráját és a kriptovaluta eszközeit.

A Sekoia két honeypotot telepített Docker image-ként két különböző országban. Az ActiveMQ 5.17.5 verzióját használták. A gazdagépet a Sekoia Linux végponti ügynökkel figyelték, és a Suricata IDS-t is használtak a sérülékenység kihasználásának észlelésére. Az online indulást követő 24 órán belül a honeypotokat a Kinsing megtámadta. Amíg aktívak voltak, a sérülékenységet naponta átlagosan öt-hat alkalommal használták ki.

A Sekoia megosztotta az IoC-kat, amelyek a Sekoia.io Github repository-jában elérhetők.

Forrás