- 13,854
- 20
- 8 Ноя 2022
Критическая уязвимость в более 3000 серверов открыла путь к масштабным кибератакам.
Специалисты в области кибербезопасности обнаружили подозрительную активность, которая может быть связана с использованием недавно обнаруженной критической уязвимости в сервисе обмена сообщениями Apache ActiveMQ. Ошибка в системе безопасности может привести к удаленному выполнению кода.
Как Для просмотра ссылки Войдиили Зарегистрируйся ИБ-компания Rapid7 , злоумышленники пытались развернуть на целевых системах программу-вымогатель, чтобы затем потребовать выкуп за расшифровку данных организаций-жертв. Изучив заметку о выкупе и имеющиеся данные, эксперты приписали активность семейству вымогательского ПО HelloKitty , Для просмотра ссылки Войди или Зарегистрируйся в начале октября.
Отмечается, что взломы осуществлялись с помощью уязвимости Для просмотра ссылки Войдиили Зарегистрируйся (CVSS 10.0), которая позволяет злоумышленнику выполнять произвольные команды на серверах Apache ActiveMQ. Проблема была решена в последних выпусках ActiveMQ версий 5.15.16, 5.16.7, 5.17.6, или 5.18.3, которые Для просмотра ссылки Войди или Зарегистрируйся в конце сентября.
Уязвимость затрагивает следующие версии:
или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся были обнародованы в сети. По словам исследователей Rapid7, активность в пострадавших сетях «соответствует тому, что можно было бы ожидать от эксплуатации CVE-2023-46604».
Успешное использование уязвимости заканчивается попыткой злоумышленника загрузить на удаленную машину файлы с названиями M2.png и M4.png через установщик Windows (msiexec). Оба MSI файла содержат 32-битный исполняемый .NET-файл под названием dllloader, который, в свою очередь, загружает нагрузку под названием EncDLL, зашифрованную в Base64 и функционирующую как вымогательское ПО. Программа ищет и прекращает работу определенного набора процессов, после чего начинает процесс шифрования, добавляя к зашифрованным файлам расширение «.locked».
По Для просмотра ссылки Войдиили Зарегистрируйся Shadowserver Foundation, по состоянию на 1 ноября 2023 года обнаружено 3326 доступных через Интернет уязвимых экземпляров ActiveMQ, большинство из них расположены в Китае, США, Германии, Южной Корее и Индии. В связи с активной эксплуатацией уязвимости пользователям настоятельно рекомендуется обновиться до последней версии ActiveMQ как можно скорее и проверить свои сети на признаки компрометации.
Специалисты в области кибербезопасности обнаружили подозрительную активность, которая может быть связана с использованием недавно обнаруженной критической уязвимости в сервисе обмена сообщениями Apache ActiveMQ. Ошибка в системе безопасности может привести к удаленному выполнению кода.
Как Для просмотра ссылки Войди
Отмечается, что взломы осуществлялись с помощью уязвимости Для просмотра ссылки Войди
Уязвимость затрагивает следующие версии:
- Apache ActiveMQ 5.18.0 до 5.18.3;
- Apache ActiveMQ 5.17.0 до 5.17.6;
- Apache ActiveMQ 5.16.0 до 5.16.7;
- Apache ActiveMQ до версии 5.15.16;
- Apache ActiveMQ Legacy OpenWire Module с 5.18.0 до 5.18.3;
- Apache ActiveMQ Legacy OpenWire Module с 5.17.0 до 5.17.6;
- Apache ActiveMQ Legacy OpenWire Module с 5.16.0 до 5.16.7;
- Apache ActiveMQ Legacy OpenWire Module с 5.8.0 до 5.15.16.
Успешное использование уязвимости заканчивается попыткой злоумышленника загрузить на удаленную машину файлы с названиями M2.png и M4.png через установщик Windows (msiexec). Оба MSI файла содержат 32-битный исполняемый .NET-файл под названием dllloader, который, в свою очередь, загружает нагрузку под названием EncDLL, зашифрованную в Base64 и функционирующую как вымогательское ПО. Программа ищет и прекращает работу определенного набора процессов, после чего начинает процесс шифрования, добавляя к зашифрованным файлам расширение «.locked».
По Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
