Ausnutzung von Schwachstellen
Missbrauch von Apache ActiveMQ mit bösen Folgen
Angreifer nutzen die Apache ActiveMQ Schwachstelle CVE-2023-46604 dazu aus, um Linux-Systeme mit Kinsing und weiterer Malware zu infizieren. Wir zeigen, wie das funktioniert und was dagegen zu tun ist.
Save to Folio
Wir haben festgestellt, dass die Apache ActiveMQ-Schwachstelle (CVE-2023-46604) aktiv ausgenutzt wird, um Linux-Systeme mit der Kinsing-Malware (auch bekannt als h2miner) und dem entsprechenden Kryptowährungs-Miner zu infizieren.
Seit Anfang November sind mehrere Berichte über aktive Angriffe aufgetaucht. Diese Berichte beziehen sich auf Bedrohungsakteure, die CVE-2023-46604 ausnutzen (z. B. diejenigen, die hinter der HelloKitty-Ransomware-Familie stehen), sowie auf Proof-of-Concept-Exploits wie Metasploit und Nuclei. Die Gesamterkennungsrate bleibt niedrig, wenn man bedenkt, dass CVE-2023-46604 eine CVSS-Bewertung von 9,8 hat.
Bei erfolgreichem Missbrauch kann ein Angreifer remote Code ausführen, und Kinsing nutzt dies zum Herunterladen und Installieren von Malware. Die Schwachstelle selbst ist darauf zurückzuführen, dass OpenWire-Befehle den Typ der Throwable-Klasse nicht validieren, was zu RCE führt.
ActiveMQ (in Java) ist ein von Apache entwickeltes Open-Source-Protokoll, das eine nachrichtenorientierte Middleware (Message Oriented Middleware, MOM) implementiert. Seine Hauptfunktion besteht darin, Nachrichten zwischen verschiedenen Anwendungen zu versenden. Es umfasst auch zusätzliche Funktionen wie Jakarta Messaging (JMS), OpenWire und andere.
OpenWire, ein binäres Protokoll, dient speziell der Arbeit mit nachrichtenorientierter Middleware und ist ein natives Wire-Format von ActiveMQ. Das Binärformat von OpenWire bietet mehrere Vorteile gegenüber anderen Formaten, z. B. die effiziente Nutzung der Bandbreite und die Unterstützung einer breiten Palette von Nachrichtentypen. Diese Eigenschaften machen es zu einer idealen Wahl für Unternehmen und Organisationen, die ein zuverlässiges und leistungsstarkes Messaging-System benötigen.
Die Kinsing-Malware gilt als kritische Bedrohung, die in erster Linie auf Linux-basierte Systeme abzielt, Server infiltrieren kann und sich schnell über ein Netzwerk verbreitet. Sie verschafft sich Zugang, indem sie Schwachstellen in Webanwendungen oder falsch konfigurierten Container-Umgebungen ausnutzt.
Kürzlich missbrauchten die Hintermänner von Kinsing Schwachstellen wie CVE-2023-4911 (Looney Tunables). Sobald Kinsing ein System infiziert hat, wird ein Skript ausgeführt, das die Ressourcen des Hosts ausnutzt, um Kryptowährungen wie Bitcoin zu schürfen, was zu erheblichen Schäden an der Infrastruktur und negativen Auswirkungen auf die Systemleistung führt.
Die Einzelheiten
Der Originalbeitrag beinhaltet eine Liste mit allen über CVE-2023-46604 angreifbaren Apache ActiveMQ-Versionen. Nutzern wird dringend empfohlen, sowohl Java OpenWire Broker und Clients auf Version 5.15.16, 5.16.7, 5.17.6 oder 5.18.3 upzudaten.
Derzeit gibt es bereits öffentliche Exploits, die die ProcessBuilder-Methode ausnutzen, um Befehle auf den betroffenen Systemen auszuführen. Im Rahmen des analysierten Vorfalls dient der Missbrauch von CVE-2023-46604 dazu, Kinsing-Cryptocurrency-Miner und Malware auf ein anfälliges System herunterzuladen und auszuführen.
Die Kinsing-Malware lädt zusätzliche Binaries und Payloads vom Command-and-Control-Server (C&C) für verschiedene Architekturen herunter. Interessant ist, dass Kinsing aktiv nach konkurrierenden Kryptowährungs-Minern (z. B. solchen, die mit Monero verbunden sind oder solche, die Log4Shell- und WebLogic-Schwachstellen ausnutzen) in Prozessen, Crontabs und aktiven Netzwerkverbindungen sucht. Anschließend werden deren Prozesse und Netzwerkverbindungen beendet. Außerdem entfernt Kinsing konkurrierende Malware und Miner aus der Crontab des infizierten Hosts. Das Kinsing-Binary wird dann einer Linux-Umgebungsvariablen zugewiesen und ausgeführt.
Schließlich fügt Kinsing einen Cronjob hinzu, der jede Minute sein bösartiges Bootstrap-Skript herunterlädt und ausführt. Dadurch wird sichergestellt, dass das Skript auf dem betroffenen Host bestehen bleibt und dass die neueste bösartige Kinsing-Binärdatei auf den betroffenen Hosts verfügbar ist. Kinsing verdoppelt seine Persistenz und Kompromittierung, indem es sein Rootkit in /etc/ld.so.preload lädt und damit eine vollständige Systemkompromittierung erreicht.
Alle technischen Details beinhaltet der Originalbeitrag.
Fazit
Die Sicherheitslücke CVE-2023-46604 wird nach wie vor von einer Vielzahl von Bedrohungsakteuren ausgenutzt, wie z. B. von der Gruppe, die hinter der Kinsing-Malware steht.
Organisationen, die Apache ActiveMQ verwenden, müssen sofort Maßnahmen ergreifen, um CVE-2023-46604 so schnell wie möglich zu patchen und die mit Kinsing verbundenen Risiken zu minimieren. Angesichts der Fähigkeit der Malware, sich über Netzwerke zu verbreiten und mehrere Schwachstellen auszunutzen, ist es wichtig, die Sicherheits-Patches auf dem neuesten Stand zu halten, die Konfigurationen regelmäßig zu überprüfen und den Netzwerkverkehr auf ungewöhnliche Aktivitäten zu überwachen.
Unternehmen sollten zudem auf Lösungen wie Trend Vision One™ setzen, mit denen Sicherheitsteams kontinuierlich bekannte, unbekannte, verwaltete und nicht verwaltete Cyber-Assets identifizieren können.
Darüber hinaus ist eine hochmoderne, mehrschichtige Verteidigungsstrategie über umfassende Sicherheitslösungen empfehlenswert, die bösartige Inhalte in der modernen Bedrohungslandschaft erkennen, scannen und blockieren können.
Die folgenden Regeln und Filter liefern zusätzlichen Schutz vor CVE-2023-46604-Exploits:
Trend Cloud One™ – Network Security and Trend Micro™ TippingPoint™ Protection Filters
- 43439: HTTP: Apache ActiveMQ OpenWire Protocol Remote Code Execution Vulnerability
Trend Cloud One™ – Workload Security and Trend Micro™ Deep Security™ IPS Rules
- 1011897 - Apache ActiveMQ Deserialization of Untrusted Data Vulnerability (CVE-2023-46604)
Die Indicators of Compromise für diesen Angriff finden Sie hier.