Blog da EcoTrust

Malware Kinsing Explora Vulnerabilidade Apache ActiveMQ para Implantar Rootkits

Leovan Reis -

O operador do malware Kinsing está explorando ativamente uma vulnerabilidade crítica no broker de mensagens de código aberto Apache ActiveMQ para comprometer sistemas Linux. A vulnerabilidade, CVE-2023-46604, permite a execução remota de código (RCE) e foi corrigida no final de outubro.

Os pesquisadores descobriram que milhares de servidores permaneceram expostos a ataques após o lançamento do patch e gangues de ransomware como HelloKitty e TellYouThePass começaram a aproveitar a oportunidade.

Detalhes

O malware Kinsing visa sistemas Linux e seu operador é conhecido por aproveitar falhas que são frequentemente negligenciadas pelos administradores de sistema. Anteriormente, eles contavam com o Log4Shell e um bug de RCE do Atlassian Confluence para seus ataques.

Para explorar a vulnerabilidade CVE-2023-46604, o malware Kinsing usa o método  ProcessBuilder para executar scripts bash maliciosos e baixar cargas úteis adicionais no dispositivo infectado. 

A vantagem desse método é que ele permite que o malware execute comandos e scripts complexos com alto grau de controle e flexibilidade, ao mesmo tempo em que evade a detecção.

Uma vez instalado, o malware Kinsing executa as seguintes etapas:

  1. Verifica se há mineradores Monero concorrentes na máquina, matando quaisquer processos relacionados, crontabs e conexões de rede ativas.
  2. Estabelece persistência por meio de um cronjob que busca a versão mais recente de seu script de infecção (bootstrap) e também adiciona um rootkit em ./etc/ld.so.preload
  3. O rootkit garante que o código malicioso seja executado com cada processo iniciado no sistema, enquanto permanece relativamente oculto e difícil de remover.

Versões afetadas do ActiveMQ

  • Apache ActiveMQ 5.18.0 antes de 5.18.3
  • Apache ActiveMQ 5.17.0 antes de 5.17.6
  • Apache ActiveMQ 5.16.0 antes de 5.16.7
  • Apache ActiveMQ antes de 5.15.16
  • Apache ActiveMQ Legacy OpenWire Module 5.18.0 antes da 5.18.3
  • Apache ActiveMQ Legacy OpenWire Module 5.17.0 antes da 5.17.6
  • Apache ActiveMQ Legacy OpenWire Module 5.16.0 antes da 5.16.7
  • Apache ActiveMQ Legacy OpenWire Module 5.8.0 antes da 5.15.16

Mitigação

Para mitigar a ameaça, os administradores de sistema são recomendados a atualizar o Apache ActiveMQ para as versões 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, que resolvem o problema de segurança.

A vulnerabilidade CVE-2023-46604 é uma ameaça significativa para organizações que usam o Apache ActiveMQ. Os administradores devem tomar medidas imediatas para mitigar a ameaça, atualizando seus sistemas para as versões mais recentes e implementando controles de segurança adicionais.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui