Malware-ul Kinsing exploatează Apache ActiveMQ RCE pentru a instala rootkits

Agentul malware Kinsing exploatează în mod activ vulnerabilitatea critică CVE-2023-46604 din brokerul de mesaje open-source Apache ActiveMQ pentru a compromite sistemele Linux.

Vulnerabilitatea permite executarea de cod de la distanță și a fost remediată odată cu sfârșitul lunii octombrie. Compania Apache explică faptul că vulnerabilitatea permite rularea de comenzi shell arbitrare, valorificând tipurile de clase serializate în protocolul OpenWire.

Malware-ul Kinsing vizează sistemele Linux, iar agentul său este cunoscut pentru faptul că exploatează vulnerabilități cunoscute care sunt adesea trecute cu vederea de către administratorii de sistem. Anterior, aceștia se bazau pe Log4Shell și pe o vulnerabilitate RCE al Atlassian Confluence RCE pentru atacurile lor.

Malware-ul utilizează metoda ProcessBuilder pentru a executa scripturi bash malițioase și pentru a descărca payload-uri pe dispozitivul infectat din cadrul proceselor nou create la nivel de sistem.

Avantajul acestei metode este că permite malware-ului să execute comenzi și scripturi complexe cu un grad ridicat de control și flexibilitate, evitând în același timp detectarea.

Directorul /etc de pe sistemele Linux găzduiește fișiere de configurare a sistemului, executabile pentru pornirea sistemului și unele fișiere de log-uri, astfel încât bibliotecile din această locație se încarcă înainte de începerea procesului unui program.

În acest caz, adăugarea unui rootkit asigură executarea codului săui cu fiecare proces care pornește pe sistem, rămânând în același timp relativ ascuns și greu de eliminat.

Pentru a remedia vulnerabilitatea, se recomandă administratorilor de sistem să actualizeze Apache Active MQ la versiunile 5.15.16, 5.16.7, 5.17.6 sau 5.18.3.

Sursă: https://www.bleepingcomputer.com/news/security/kinsing-malware-exploits-apache-activemq-rce-to-plant-rootkits/