A exploração maliciosa de uma vulnerabilidade Apache ActiveMQ rastreada como CVE-2023-46604 começou pelo menos duas semanas antes do lançamento dos patches, de acordo com a empresa gerenciada de detecção e resposta Huntress.
Apache ActiveMQ é um popular corretor de mensagens multiprotocolo de código aberto, e ainda existem milhares de instâncias expostas à Internet que são vulneráveis a ataques que exploram CVE-2023-46604, que pode ser aproveitado para execução remota de código.
Um patch para a vulnerabilidade foi enviado ao código-fonte em 24 de outubro e a existência da falha de segurança foi tornada pública em 27 de outubro.
Rapid7 começou a ver tentativas de exploração no mesmo dia, com invasores aparentemente tentando entregar o ransomware HelloKitty, cujo código-fonte vazou no início de outubro.
No entanto, a Huntress encontrou evidências de que CVE-2023-46604 foi explorado como um dia zero desde pelo menos 10 de outubro.
“No momento em que os eventos foram investigados, os analistas da Huntress não encontraram nenhuma atividade maliciosa adicional subsequente no endpoint, indicando que o processo de infecção não teve sucesso”, disse a empresa em um blog na quinta-feira.
Detalhes técnicos e código de prova de conceito (PoC) para CVE-2023-46604 estão disponíveis publicamente. Ademais, a exploração da vulnerabilidade é trivial e existe até um módulo Metasploit que automatiza a exploração.
Por isso é importante que os usuários atualizem o ActiveMQ o mais rápido possível para as versões 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, que corrigem a falha.
Indicadores de compromisso (IoCs) estão disponíveis em ambos Rápido7 e Caçadora.
Esta não é a primeira vulnerabilidade do Apache ActiveMQ que foi explorada à solta. A agência de cibersegurança dos EUA, CISA, alertou no ano passado que o CVE-2016-3088, que permite que atacantes remotos carreguem e executem ficheiros arbitrários, também foi aproveitado para fins maliciosos.
