Le ransomware HelloKitty exploite cette faille Apache ActiveMQ : des milliers de serveurs vulnérables !
jeudi 2 novembre 2023 à 11:18Le gang de ransomware HelloKitty exploite activement une faille de sécurité critique dans Apache ActiveMQ ! Grâce à cette vulnérabilité, les cybercriminels peuvent exécuter du code à distance sur la machine. Faisons le point sur cette menace.
Apache ActiveMQ est une application open source, écrite en Java, et de type "message broker". Il peut être utilisé par certaines applications qui ont besoin d'un service de ce type pour fonctionner. Apache ActiveMQ est une alternative à RabbitMQ.
Les chercheurs en sécurité de chez Rapid7 ont découvert que les cybercriminels du groupe HelloKitty ont exploité la faille de sécurité CVE-2023-46604 d'Apache ActiveMQ dans le cadre de deux cyberattaques, où ils sont intervenus pour mener des investigations. En l'exploitant, un attaquant situé à distance peut exécuter des commandes shell sur le serveur.
"Dans les deux cas, l'adversaire a tenté de déployer des binaires de ransomware sur les systèmes cibles afin de demander une rançon aux organisations victimes.", peut-on lire dans le rapport de Rapid7. C'est en lisant la note de rançon déposée sur le serveur que Rapid7 a pu découvrir qu'il s'agissait du ransomware HelloKitty.
Ce n'est pas étonnant que les cybercriminels s'intéressent à cette vulnérabilité parce qu'elle a un score CVSS de 10 sur 10 : il s'agit d'une faille de sécurité critique, avec une sévérité au niveau maximal. D'ailleurs, il y a même un exploit PoC disponible sur GitHub.
Quelles sont les versions d'Apache ActiveMQ affectées ?
La vulnérabilité affecte les versions suivantes :
- Apache ActiveMQ 5.18.0 avant 5.18.3
- Apache ActiveMQ 5.17.0 avant 5.17.6
- Apache ActiveMQ 5.16.0 avant 5.16.7
- Apache ActiveMQ avant 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 avant 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 avant 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 avant 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 avant 5.15.16
Pour vous protéger, vous devez utiliser l'une des versions suivantes d'ActiveMQ : 5.15.16, 5.16.7, 5.17.6 ou 5.18.3. Ces versions sont disponibles depuis quelques jours (publication fin octobre 2023).
Plus de 3 000 serveurs vulnérables
La Shadowserver Foundation indique avoir identifié 3 326 instances ActiveMQ accessibles sur Internet et vulnérables à la faille de sécurité CVE-2023-46604, sur un total de 7 249 instances. En Europe, il y a 659 instances ActiveMQ vulnérables !
The post Le ransomware HelloKitty exploite cette faille Apache ActiveMQ : des milliers de serveurs vulnérables ! first appeared on IT-Connect.