Новости Linux под осадой: Apache ActiveMQ как троянский конь для криптомайнера Kinsing

[NewsMaker]

Без обновления пользователи Linux беспомощны перед коварным вредоносом.

---

---

Компания Trend Micro Для просмотра ссылки Войди или Зарегистрируйся активную эксплуатацию уязвимости Apache ActiveMQ CVE-2023-46604, которая позволяет загружать и заражать системы Linux вредоносным ПО Kinsing .

Apache ActiveMQ – это ПО с открытым исходным кодом, написанное на Java, которое реализует промежуточное программное обеспечение для обмена сообщениями (Message-Oriented Middleware, MOM ). Его основная функция – передача сообщений между различными приложениями. Кроме того, в него включены дополнительные функции, такие как STOMP, Jakarta Messaging (JMS) и OpenWire.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 10.0) в Apache ActiveMQ позволяет осуществлять удаленное выполнение кода (Remote Code Execution, RCE ) на зараженных системах. Эксплуатация становится возможной из-за недостаточной проверки типа класса «throwable» в командах OpenWire. Используя уязвимость, злоумышленники могут загружать и устанавливать вредоносное ПО на системы Linux.

После заражения системы Kinsing развертывает скрипт для майнинга криптовалют, эксплуатируя ресурсы хоста для добычи криптовалют, что приводит к значительному ущербу для инфраструктуры и отрицательно влияет на производительность системы.

Интересной особенностью вредоносного ПО Kinsing является то, что оно активно ищет конкурирующие майнеры криптовалюты (например, связанные с Monero или использующие уязвимости Log4Shell и WebLogic) в процессах, в расписаниях crontab и активных сетевых подключениях. Затем Kinsing уничтожает такие процессы и сетевые подключения. Кроме того, Kinsing удаляет конкурирующие вредоносные программы и майнеры из файлов crontab зараженного хоста.

Список версий Apache ActiveMQ, подверженных уязвимости CVE-2023-46604, включает:

• Apache ActiveMQ 5.18.0 до 5.18.3
• Apache ActiveMQ 5.17.0 до 5.17.6
• Apache ActiveMQ 5.16.0 до 5.16.7
• Apache ActiveMQ до 5.15.16
• Apache ActiveMQ Legacy OpenWire Module 5.18.0 до 5.18.3
• Apache ActiveMQ Legacy OpenWire Module 5.17.0 до 5.17.6
• Apache ActiveMQ Legacy OpenWire Module 5.16.0 до 5.16.7
• Apache ActiveMQ Legacy OpenWire Module 5.8.0 до 5.15.16

Пользователям рекомендуется обновить как Java OpenWire брокеров, так и клиентов до версии 5.15.16, 5.16.7, 5.17.6 или 5.18.3, так как любое из этих обновлений устраняет проблему.

После раскрытия информации об уязвимостях, PoC-код Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся были обнародованы в сети. С тех пор уязвимость Для просмотра ссылки Войди или Зарегистрируйся группами вымогателей для развертывания Для просмотра ссылки Войди или Зарегистрируйся , вируса, схожего с TellYouThePass, и трояна удаленного доступа Для просмотра ссылки Войди или Зарегистрируйся . По данным VulnCheck, киберпреступники, эксплуатирующие уязвимость, опираются на общедоступный Для просмотра ссылки Войди или Зарегистрируйся (Proof-of-Concept, PoC), который был впервые обнародован в конце октября.