O operador do malware Kinsing está explorando ativamente a vulnerabilidade crítica
CVE-2023-46604
no broker de mensagens de código aberto Apache ActiveMQ para comprometer sistemas Linux.
A falha permite execução remota de código e foi corrigida no final de outubro.
O aviso da Apache explica que o problema permite a execução de comandos de shell arbitrários aproveitando tipos de classe serializados no protocolo OpenWire.
Pesquisadores descobriram que milhares de servidores permaneceram expostos a ataques após o lançamento do patch e gangues de ransomware como HelloKitty e TellYouThePass começaram a aproveitar a oportunidade.
Hoje, um relatório da TrendMicro observa que o Kinsing entra para a lista de atores de ameaças que exploram
CVE-2023-46604
, com o objetivo de implantar miners de criptomoedas em servidores vulneráveis.
O malware Kinsing mira em sistemas Linux e seu operador é notório por explorar falhas conhecidas que são frequentemente negligenciadas por administradores de sistemas.
Anteriormente, eles se apoiavam em Log4Shell e um bug de RCE do Atlassian Confluence para seus ataques.
"Atualmente, existem exploits públicos que usam o método ProcessBuilder para executar comandos nos sistemas afetados", explicam os pesquisadores.
O malware usa o método 'ProcessBuilder' para executar scripts bash maliciosos e baixar payloads no dispositivo infectado a partir de novos processos de nível de sistema criados.
A vantagem deste método é que ele permite ao malware executar comandos e scripts complexos com alto grau de controle e flexibilidade, enquanto também evita detecção.
Antes de lançar a ferramenta de mineração de criptomoedas, o Kinsing verifica a máquina em busca de miners de Monero por meio da interrupção de quaisquer processos, crontabs e conexões de rede ativas relacionadas.
Após isso, ele estabelece permanência por meio de um cronjob que busca a versão mais recente de seu script de infecção (bootstrap) e também adiciona um rootkit em '/etc/ld.so.preload'.
O diretório /etc nos sistemas Linux normalmente hospeda arquivos de configuração do sistema, executáveis para inicializar o sistema e alguns arquivos de log, portanto, bibliotecas nesta localização carregam antes do início do processo de um programa.
Nesse caso, adicionar um rootkit garante que seu código seja executado com cada processo que começa no sistema enquanto permanece relativamente oculto e difícil de remover.
À medida que o número de atores de ameaças explorando
CVE-2023-46604
aumenta, organizações de vários setores permanecem em risco se não corrigirem a vulnerabilidade ou verificarem sinais de comprometimento.
Para mitigar a ameaça, recomenda-se aos administradores de sistemas que atualizem o Apache Active MQ para as versões 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, que abordam o problema de segurança.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...