Без обновления пользователи Linux беспомощны перед коварным вредоносом.
Компания Trend Micro обнаружила активную эксплуатацию уязвимости Apache ActiveMQ CVE-2023-46604, которая позволяет загружать и заражать системы Linux вредоносным ПО Kinsing.
Apache ActiveMQ – это ПО с открытым исходным кодом, написанное на Java, которое реализует промежуточное программное обеспечение для обмена сообщениями (Message-Oriented Middleware, MOM). Его основная функция – передача сообщений между различными приложениями. Кроме того, в него включены дополнительные функции, такие как STOMP, Jakarta Messaging (JMS) и OpenWire.
Уязвимость CVE-2023-46604 (CVSS: 10.0) в Apache ActiveMQ позволяет осуществлять удаленное выполнение кода (Remote Code Execution, RCE) на зараженных системах. Эксплуатация становится возможной из-за недостаточной проверки типа класса «throwable» в командах OpenWire. Используя уязвимость, злоумышленники могут загружать и устанавливать вредоносное ПО на системы Linux.
После заражения системы Kinsing развертывает скрипт для майнинга криптовалют, эксплуатируя ресурсы хоста для добычи криптовалют, что приводит к значительному ущербу для инфраструктуры и отрицательно влияет на производительность системы.
Интересной особенностью вредоносного ПО Kinsing является то, что оно активно ищет конкурирующие майнеры криптовалюты (например, связанные с Monero или использующие уязвимости Log4Shell и WebLogic) в процессах, в расписаниях crontab и активных сетевых подключениях. Затем Kinsing уничтожает такие процессы и сетевые подключения. Кроме того, Kinsing удаляет конкурирующие вредоносные программы и майнеры из файлов crontab зараженного хоста.
Список версий Apache ActiveMQ, подверженных уязвимости CVE-2023-46604, включает:
Пользователям рекомендуется обновить как Java OpenWire брокеров, так и клиентов до версии 5.15.16, 5.16.7, 5.17.6 или 5.18.3, так как любое из этих обновлений устраняет проблему.
После раскрытия информации об уязвимостях, PoC-код эксплойта и дополнительные технические детали были обнародованы в сети. С тех пор уязвимость активно эксплуатируется группами вымогателей для развертывания вымогательсктого ПО HelloKitty , вируса, схожего с TellYouThePass, и трояна удаленного доступа SparkRAT . По данным VulnCheck, киберпреступники, эксплуатирующие уязвимость, опираются на общедоступный PoC-эксплоит (Proof-of-Concept, PoC), который был впервые обнародован в конце октября.
5778 К? Пф! У нас градус знаний зашкаливает!