Apache ActiveMQにおける重大な脆弱性(CVE-2023-46604)が明らかになり、悪名高いKinsingマルウェアによる活発な悪用状況が判明した。
月曜日にTrend Microが公開したアドバイザリによると、この発見はLinuxシステムへの影響を浮き彫りにしている。この脆弱性は、OpenWireコマンドにおけるthrowableクラス型の検証が不十分であるため、リモートコード実行(RCE)を可能にする。
Apache ActiveMQはJavaベースのオープンソースプロトコルで、メッセージ指向ミドルウェアとして広く利用され、多様なアプリケーション間のシームレスな通信を実現する。
Linuxベースのシステムを特に狙う強力な脅威であるKinsingは、Webアプリケーションの脆弱性や設定不備のあるコンテナ環境を悪用してサーバーに侵入し、ネットワーク全体へ迅速に拡散する。
CVE-2023-46604の活発な悪用に関する報告は11月に浮上し、脅威アクターはMetasploitやNucleiなどのエクスプロイトを使用していた。脆弱性の深刻度(CVSS 9.8)にもかかわらず、検知は比較的低いままだ。
「このCVEの危険性は、Apache ActiveMQが広く使われていること、そして(MQTTなど)複数のプロトコルをまたいで通信できるため、IoT/OT/ICSデバイスと連携する非IT環境でも広く利用されている点にあります」と、ViakooのViakoo Labsでバイスプレジデントを務めるJohn Gallagher氏は説明した。
「多くのIoTデバイスは強力な処理能力を備える一方でパッチ適用ポリシーが欠如しており、[暗号資産]マイニングはそれらにとって理想的な活動になっています。」
KinsingのエクスプロイトはProcessBuilderメソッドを利用し、侵害されたシステム上で暗号資産マイナーおよびマルウェアのダウンロードと実行を引き起こす。特筆すべき点として、このマルウェアは競合する暗号資産マイナーを積極的に探索して排除する。
Kinsingのエクスプロイトを操る脅威アクターは、CVE-2023-46604だけでなく、CVE-2023-4911(Looney Tunables)など、他の著名な脆弱性も悪用している。
Kinsingについて詳しく読む:露出したAPIを介して暗号資産マルウェアでDockerユーザーが標的に
Trend Microは、この脆弱性に伴うリスクを軽減するため、ユーザーに対して速やかなアップグレードを促した。CVE-2023-46604向けのパッチは、「BaseDataStreamMarshall」クラスに「validateIsThrowable」メソッドを導入することで根本原因に対処している。
「この[脅威]から守るため、組織はパッチ適用と是正を最優先すべきであり、特に外部に公開されている箇所や、より価値の高い資産を持つ環境ではなおさらです」と、Qualysのサイバー脅威ディレクターであるKen Dunham氏は述べた。
「さらに、適用可能な回避策と併せた広範な監視やログレビューといった予防措置を推奨します。これは、悪用リスクが完全に是正されるまで、総当たり攻撃や既知の攻撃に関する既知のTTPに対抗するためです。」
翻訳元: https://www.infosecurity-magazine.com/news/apache-activemq-flaw-exposes-linux/
