Linux под осадой: Apache ActiveMQ как троянский конь для криптомайнера Kinsing

Компания Trend Micro обнаружила активную эксплуатацию уязвимости Apache ActiveMQ CVE-2023-46604, которая позволяет загружать и заражать системы Linux вредоносным ПО Kinsing.

Apache ActiveMQ – это ПО с открытым исходным кодом, написанное на Java, которое реализует промежуточное программное обеспечение для обмена сообщениями (Message-Oriented Middleware, MOM). Его основная функция – передача сообщений между различными приложениями. Кроме того, в него включены дополнительные функции, такие как STOMP, Jakarta Messaging (JMS) и OpenWire.

Уязвимость CVE-2023-46604 (CVSS: 10.0) в Apache ActiveMQ позволяет осуществлять удаленное выполнение кода (Remote Code Execution, RCE) на зараженных системах. Эксплуатация становится возможной из-за недостаточной проверки типа класса «throwable» в командах OpenWire. Используя уязвимость, злоумышленники могут загружать и устанавливать вредоносное ПО на системы Linux.

После заражения системы Kinsing развертывает скрипт для майнинга криптовалют, эксплуатируя ресурсы хоста для добычи криптовалют, что приводит к значительному ущербу для инфраструктуры и отрицательно влияет на производительность системы​​.

Интересной особенностью вредоносного ПО Kinsing является то, что оно активно ищет конкурирующие майнеры криптовалюты (например, связанные с Monero или использующие уязвимости Log4Shell и WebLogic) в процессах, в расписаниях crontab и активных сетевых подключениях. Затем Kinsing уничтожает такие процессы и сетевые подключения. Кроме того, Kinsing удаляет конкурирующие вредоносные программы и майнеры из файлов crontab зараженного хоста.

Список версий Apache ActiveMQ, подверженных уязвимости CVE-2023-46604, включает:

• Apache ActiveMQ 5.18.0 до 5.18.3
• Apache ActiveMQ 5.17.0 до 5.17.6
• Apache ActiveMQ 5.16.0 до 5.16.7
• Apache ActiveMQ до 5.15.16
• Apache ActiveMQ Legacy OpenWire Module 5.18.0 до 5.18.3
• Apache ActiveMQ Legacy OpenWire Module 5.17.0 до 5.17.6
• Apache ActiveMQ Legacy OpenWire Module 5.16.0 до 5.16.7
• Apache ActiveMQ Legacy OpenWire Module 5.8.0 до 5.15.16

Пользователям рекомендуется обновить как Java OpenWire брокеров, так и клиентов до версии 5.15.16, 5.16.7, 5.17.6 или 5.18.3, так как любое из этих обновлений устраняет проблему​​.

После раскрытия информации об уязвимостях, PoC-код эксплойта и дополнительные технические детали были обнародованы в сети. С тех пор уязвимость активно эксплуатируется группами вымогателей для развертывания вымогательсктого ПО HelloKitty , вируса, схожего с TellYouThePass, и трояна удаленного доступа SparkRAT . По данным VulnCheck, киберпреступники, эксплуатирующие уязвимость, опираются на общедоступный PoC-эксплоит (Proof-of-Concept, PoC), который был впервые обнародован в конце октября.