15/11/2024

Actu Cybersécurité

Le ransomware HelloKitty exploite cette faille Apache ActiveMQ : des milliers de serveurs vulnérables !

Le gang de ransomware HelloKitty exploite activement une faille de sécurité critique dans Apache ActiveMQ ! Grâce à cette vulnérabilité, les cybercriminels peuvent exécuter du code à distance sur la machine. Faisons le point sur cette menace.

Apache ActiveMQ est une application open source, écrite en Java, et de type "message broker". Il peut être utilisé par certaines applications qui ont besoin d'un service de ce type pour fonctionner. Apache ActiveMQ est une alternative à RabbitMQ.

Les chercheurs en sécurité de chez Rapid7 ont découvert que les cybercriminels du groupe HelloKitty ont exploité la faille de sécurité CVE-2023-46604 d'Apache ActiveMQ dans le cadre de deux cyberattaques, où ils sont intervenus pour mener des investigations. En l'exploitant, un attaquant situé à distance peut exécuter des commandes shell sur le serveur.

"Dans les deux cas, l'adversaire a tenté de déployer des binaires de ransomware sur les systèmes cibles afin de demander une rançon aux organisations victimes.", peut-on lire dans le rapport de Rapid7. C'est en lisant la note de rançon déposée sur le serveur que Rapid7 a pu découvrir qu'il s'agissait du ransomware HelloKitty.

Ce n'est pas étonnant que les cybercriminels s'intéressent à cette vulnérabilité parce qu'elle a un score CVSS de 10 sur 10 : il s'agit d'une faille de sécurité critique, avec une sévérité au niveau maximal. D'ailleurs, il y a même un exploit PoC disponible sur GitHub.

Quelles sont les versions d'Apache ActiveMQ affectées ?

La vulnérabilité affecte les versions suivantes :

  • Apache ActiveMQ 5.18.0 avant 5.18.3
  • Apache ActiveMQ 5.17.0 avant 5.17.6
  • Apache ActiveMQ 5.16.0 avant 5.16.7
  • Apache ActiveMQ avant 5.15.16
  • Apache ActiveMQ Legacy OpenWire Module 5.18.0 avant 5.18.3
  • Apache ActiveMQ Legacy OpenWire Module 5.17.0 avant 5.17.6
  • Apache ActiveMQ Legacy OpenWire Module 5.16.0 avant 5.16.7
  • Apache ActiveMQ Legacy OpenWire Module 5.8.0 avant 5.15.16

Pour vous protéger, vous devez utiliser l'une des versions suivantes d'ActiveMQ : 5.15.16, 5.16.7, 5.17.6 ou 5.18.3. Ces versions sont disponibles depuis quelques jours (publication fin octobre 2023).

Plus de 3 000 serveurs vulnérables

La Shadowserver Foundation indique avoir identifié 3 326 instances ActiveMQ accessibles sur Internet et vulnérables à la faille de sécurité CVE-2023-46604, sur un total de 7 249 instances. En Europe, il y a 659 instances ActiveMQ vulnérables !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.