L’opérateur de malware Kinsing exploite activement la vulnérabilité critique CVE-2023-46604 dans le courtier de messages open source Apache ActiveMQ pour compromettre les systèmes Linux.
La faille permet l’exécution de code à distance et a été corrigée fin octobre. La divulgation d’Apache explique que le problème permet d’exécuter des commandes shell arbitraires exploitant les types de classes sérialisées dans le protocole OpenWire.
Les chercheurs ont découvert que des milliers de serveurs sont restés exposés aux attaques après la publication du correctif et que des gangs de ransomwares comme HelloKitty et TellYouThePass ont commencé à profiter de cette opportunité.
Kinsing cible ActiveMQ
Aujourd’hui, un rapport de TrendMicro note que Kinsing s’ajoute à la liste des acteurs malveillants exploitant CVE-2023-46604, leur objectif étant de déployer des mineurs de cryptomonnaie sur des serveurs vulnérables.
Le malware Kinsing cible les systèmes Linux et son opérateur est connu pour exploiter des failles connues qui sont souvent négligées par les administrateurs système. Auparavant, ils s’appuyaient sur Log4Shell et un bug Atlassian Confluence RCE pour leurs attaques.
« Actuellement, il existe des exploits publics qui exploitent la méthode ProcessBuilder pour exécuter des commandes sur les systèmes concernés », expliquent les chercheurs.
« Dans le contexte de Kinsing, CVE-2023-46604 est exploité pour télécharger et exécuter des mineurs de crypto-monnaie et des logiciels malveillants Kinsing sur un système vulnérable » – Trend Micro
Le malware utilise la méthode « ProcessBuilder » pour exécuter des scripts bash malveillants et télécharger des charges utiles supplémentaires sur l’appareil infecté à partir de processus nouvellement créés au niveau du système.
L’avantage de cette méthode est qu’elle permet au malware d’exécuter des commandes et des scripts complexes avec un degré élevé de contrôle et de flexibilité tout en échappant à la détection.
Avant de lancer l’outil de crypto mining, Kinsing vérifie la machine pour les mineurs Monero concurrents en supprimant tous les processus, crontabs et connexions réseau actives associés.
Après cela, il établit la persistance via une tâche cron qui récupère la dernière version de son script d’infection (bootstrap) et ajoute également un rootkit dans « /etc/ld.so.preload ».
Le répertoire /etc sur les systèmes Linux héberge généralement les fichiers de configuration du système, les exécutables pour démarrer le système et certains fichiers journaux, de sorte que les bibliothèques de cet emplacement se chargent avant le démarrage du processus d’un programme.
Dans ce cas, l’ajout d’un rootkit garantit que son code s’exécute à chaque processus démarré sur le système tout en restant relativement caché et difficile à supprimer.
À mesure que le nombre d’acteurs malveillants exploitant CVE-2023-46604 augmente, les organisations de plusieurs secteurs restent en danger si elles ne corrigent pas la vulnérabilité ou ne vérifient pas les signes de compromission.
Pour atténuer la menace, il est recommandé aux administrateurs système de mettre à niveau Apache Active MQ vers les versions 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, qui résolvent le problème de sécurité.