Apache ActiveMQ: Aktive Ausnutzung von mehreren Code-Smuggling-Lücken durch Botnet-Betreiber

Apache ActiveMQ, ein weit verbreitetes Open-Source-Message-Broker-System ist von einer kritischen Sicherheitslücke betroffen die seit Oktober bekannt ist. Diese Lücke wird nun aktiv von Botnet-Betreibern ausgenutzt um Server zu übernehmen und zu missbrauchen. Die US-Cybersicherheitsbehörde CISA hat den Bug in ihre Liste der bekannt ausgenutzten Schwachstellen aufgenommen und warnt vor bekannten Exploits. Es wird dringend empfohlen, dass Administratoren die noch keinen Patch eingespielt haben, ihre ActiveMQ-Server überprüfen da ein hohes Risiko besteht dass sie bereits kompromittiert wurden.



Die kritische Sicherheitslücke betrifft alle ActiveMQ-Versionen vor 5.15.16, 5.16.7, 5.17.6 und 5.18.3 auf allen Betriebssystemen. Durch Ausnutzung dieser Lücke können Angreifer eine speziell präparierte XML-Anfrage an einen verwundbaren ActiveMQ-Server senden um Shell-Kommandos auszuführen. Dadurch erhalten sie Zugriff auf den Server und können Schadcode aus dem Internet nachladen um ihn für ihre kriminellen Machenschaften zu missbrauchen.



Kriminelle Aktivitäten


Verschiedene Gruppen von Cyberkriminellen haben sich bereits dieser Taktik angeschlossen und nutzen die Sicherheitslücke für ihre Zwecke aus. Eine Gruppe nutzt die Lücke um kompromittierte Server in ihr neues Botnet "GoTitan" aufzunehmen. Sie installieren außerdem verschiedene Pentesting- & Fernzugriffs-Werkzeuge auf den betroffenen ActiveMQ-Maschinen. Eine andere Angreifergruppe namens "Kinsing" entfernt zunächst konkurrierende Schadsoftware, bevor sie ihre eigene Malware installiert. Diese enthält unter anderem eine Software zum Crypto-Mining die nicht mit anderen Prozessen um die CPU-Zeit konkurrieren soll. Eine weitere Bande nutzt die Sicherheitslücke um zusätzliche Angriffskraft für Denial-of-Service-Angriffe zu gewinnen.



Neue Deserialisierungslücke entdeckt


Das ActiveMQ-Projekt hat ebenfalls eine neue Sicherheitslücke gemeldet welche zur Ausführung von Schadcode genutzt werden kann. Diese Lücke betrifft die Deserialisierungsroutine der Jolokia-Komponente und erfordert eine Authentisierung. Während die Entwickler von ActiveMQ den Schweregrad als moderat einschätzen, hat der Warn- und Informationsdienst des BSI einen CVSS-Wert von 8.8 vergeben und stuft den Schweregrad dadurch als hoch ein. Obwohl die Auswirkungen dieser Lücke derzeit noch nicht klar sind, wird empfohlen. Dass ActiveMQ-Administratoren schnellstmöglich ein Upgrade auf die bereinigten Versionen 5.16.6, 5.17.4, 5.18.0 oder 6.0.0 durchführen.






Kommentare

Apache ActiveMQ ist von mehreren kritischen Sicherheitslücken betroffen die aktiv von Botnet-Betreibern ausgenutzt werden. Es ist dringend empfohlen, dass ActiveMQ-Server aktualisiert werden um mögliche Angriffe zu verhindern. Essenziell bleibt dass Administratoren die neuesten Patches einspielen und ihre Systeme regelmäßig auf Schwachstellen überprüfen um ein hohes Sicherheitsniveau zu gewährleisten.


Anzeige