安全研究人员从趋势微观(Trend Micro)发现,Kinsing恶意软件(也被称为h2miner)正在积极利用Apache ActiveMQ漏洞CVE-2023-46604,通过下载并感染Linux系统以进行加密货币挖矿。这个允许远程代码执行(RCE)的漏洞已被Kinsing用来渗透服务器,并在网络中迅速传播。
Apache ActiveMQ漏洞CVE-2023-46604是一个影响OpenWire命令的严重安全漏洞,OpenWire是ActiveMQ的一个功能,允许不同应用程序之间进行通信。当被利用时,这个漏洞允许攻击者在受影响的系统上执行任意代码。
Kinsing恶意软件是一个特别危险的威胁,针对Linux系统。它可以通过利用Web应用程序的漏洞或配置错误的容器环境进入系统。一旦进入系统,Kinsing部署一个加密货币挖矿脚本,利用主机资源挖掘比特币等加密货币。这可能导致基础设施的显著损害和系统性能的负面影响。
为了利用Apache ActiveMQ漏洞CVE-2023-46604,Kinsing恶意软件使用一个公开的利用程序,利用ProcessBuilder方法在受影响的系统上执行命令。一旦利用了漏洞,Kinsing下载并执行一个恶意的安装程序,然后使用bash执行一个恶意脚本。
Kinsing恶意软件采取多种步骤来确保在受影响的主机上持久存在。它添加一个cronjob,每分钟下载并执行其恶意的引导脚本,并加载其rootkit到/etc/ld.so.preload,完成对整个系统的完全接管。
CVE-2023-46604漏洞正在被广泛的威胁行为者积极利用,包括Kinsing恶意软件背后的组织。这使得它成为全球组织的一个重要安全风险。
使用Apache ActiveMQ的组织必须立即采取行动,尽快修补CVE-2023-46604。此外,他们应保持最新的安全补丁,定期审核配置,并监视网络流量以察觉异常活动。