Apache ActiveMQ: Aktive Ausnutzung von mehreren Code-Smuggling-Lücken durch Botnet-Betreiber

Apache ActiveMQ: Mehrere Codeschmuggel-Lücken von Botnetbetreibern ausgenutzt

Apache ActiveMQ, ein weit verbreitetes Open-Source-Message-Broker-System, ist von einer kritischen Sicherheitslücke betroffen, die seit Oktober bekannt ist. Diese Lücke wird nun aktiv von Botnet-Betreibern ausgenutzt, um Server zu übernehmen und zu missbrauchen. Die US-Cybersicherheitsbehörde CISA hat den Bug in ihre Liste der bekannt ausgenutzten Schwachstellen aufgenommen und warnt vor bekannten Exploits. Es wird dringend empfohlen, dass Administratoren, die noch keinen Patch eingespielt haben, ihre ActiveMQ-Server überprüfen, da ein hohes Risiko besteht, dass sie bereits kompromittiert wurden.



Die kritische Sicherheitslücke betrifft alle ActiveMQ-Versionen vor 5.15.16, 5.16.7, 5.17.6 und 5.18.3 auf allen Betriebssystemen. Durch Ausnutzung dieser Lücke können Angreifer eine speziell präparierte XML-Anfrage an einen verwundbaren ActiveMQ-Server senden, um Shell-Kommandos auszuführen. Dadurch erhalten sie Zugriff auf den Server und können Schadcode aus dem Internet nachladen, um ihn für ihre kriminellen Machenschaften zu missbrauchen.



Kriminelle Aktivitäten


Verschiedene Gruppen von Cyberkriminellen haben sich bereits dieser Taktik angeschlossen und nutzen die Sicherheitslücke für ihre Zwecke aus. Eine Gruppe nutzt die Lücke, um kompromittierte Server in ihr neues Botnet "GoTitan" aufzunehmen. Sie installieren außerdem verschiedene Pentesting- und Fernzugriffs-Werkzeuge auf den betroffenen ActiveMQ-Maschinen. Eine andere Angreifergruppe namens "Kinsing" entfernt zunächst konkurrierende Schadsoftware, bevor sie ihre eigene Malware installiert. Diese enthält unter anderem eine Software zum Crypto-Mining, die nicht mit anderen Prozessen um die CPU-Zeit konkurrieren soll. Eine weitere Bande nutzt die Sicherheitslücke, um zusätzliche Angriffskraft für Denial-of-Service-Angriffe zu gewinnen.



Neue Deserialisierungslücke entdeckt


Das ActiveMQ-Projekt hat auch eine neue Sicherheitslücke gemeldet, die zur Ausführung von Schadcode genutzt werden kann. Diese Lücke betrifft die Deserialisierungsroutine der Jolokia-Komponente und erfordert eine Authentisierung. Während die Entwickler von ActiveMQ den Schweregrad als moderat einschätzen, hat der Warn- und Informationsdienst des BSI einen CVSS-Wert von 8.8 vergeben und stuft den Schweregrad somit als hoch ein. Obwohl die Auswirkungen dieser Lücke derzeit noch nicht klar sind, wird empfohlen, dass ActiveMQ-Administratoren schnellstmöglich ein Upgrade auf die bereinigten Versionen 5.16.6, 5.17.4, 5.18.0 oder 6.0.0 durchführen.



Fazit


Apache ActiveMQ ist von mehreren kritischen Sicherheitslücken betroffen, die aktiv von Botnet-Betreibern ausgenutzt werden. Es ist dringend empfohlen, dass ActiveMQ-Server aktualisiert werden, um mögliche Angriffe zu verhindern. Es ist wichtig, dass Administratoren die neuesten Patches einspielen und ihre Systeme regelmäßig auf Schwachstellen überprüfen, um ein hohes Sicherheitsniveau zu gewährleisten.






Kommentare


Anzeige