O malware Kinsing explora o RCE do Apache ActiveMQ para instalar rootkits
21 de Novembro de 2023

O operador do malware Kinsing está explorando ativamente a vulnerabilidade crítica CVE-2023-46604 no broker de mensagens de código aberto Apache ActiveMQ para comprometer sistemas Linux.

A falha permite execução remota de código e foi corrigida no final de outubro.

O aviso da Apache explica que o problema permite a execução de comandos de shell arbitrários aproveitando tipos de classe serializados no protocolo OpenWire.

Pesquisadores descobriram que milhares de servidores permaneceram expostos a ataques após o lançamento do patch e gangues de ransomware como HelloKitty e TellYouThePass começaram a aproveitar a oportunidade.

Hoje, um relatório da TrendMicro observa que o Kinsing entra para a lista de atores de ameaças que exploram CVE-2023-46604 , com o objetivo de implantar miners de criptomoedas em servidores vulneráveis.

O malware Kinsing mira em sistemas Linux e seu operador é notório por explorar falhas conhecidas que são frequentemente negligenciadas por administradores de sistemas.

Anteriormente, eles se apoiavam em Log4Shell e um bug de RCE do Atlassian Confluence para seus ataques.

"Atualmente, existem exploits públicos que usam o método ProcessBuilder para executar comandos nos sistemas afetados", explicam os pesquisadores.

O malware usa o método 'ProcessBuilder' para executar scripts bash maliciosos e baixar payloads no dispositivo infectado a partir de novos processos de nível de sistema criados.

A vantagem deste método é que ele permite ao malware executar comandos e scripts complexos com alto grau de controle e flexibilidade, enquanto também evita detecção.

Antes de lançar a ferramenta de mineração de criptomoedas, o Kinsing verifica a máquina em busca de miners de Monero por meio da interrupção de quaisquer processos, crontabs e conexões de rede ativas relacionadas.

Após isso, ele estabelece permanência por meio de um cronjob que busca a versão mais recente de seu script de infecção (bootstrap) e também adiciona um rootkit em '/etc/ld.so.preload'.

O diretório /etc nos sistemas Linux normalmente hospeda arquivos de configuração do sistema, executáveis ​​para inicializar o sistema e alguns arquivos de log, portanto, bibliotecas nesta localização carregam antes do início do processo de um programa.

Nesse caso, adicionar um rootkit garante que seu código seja executado com cada processo que começa no sistema enquanto permanece relativamente oculto e difícil de remover.

À medida que o número de atores de ameaças explorando CVE-2023-46604 aumenta, organizações de vários setores permanecem em risco se não corrigirem a vulnerabilidade ou verificarem sinais de comprometimento.

Para mitigar a ameaça, recomenda-se aos administradores de sistemas que atualizem o Apache Active MQ para as versões 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, que abordam o problema de segurança.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...