Apache ActiveMQ: Mehrere Codeschmuggel-Lücken von Botnetbetreibern ausgenutzt
Die im Oktober veröffentlichten kritischen Sicherheitsprobleme in ActiveMQ nützen nun Botnet-Betreibern. Derweil gibt es ein neues Sicherheitsproblem.
(Bild: Sashkin/Shutterstock.com)
Eine kritische Sicherheitslücke in Apache ActiveMQ, die seit Oktober bekannt ist, wird nun aktiv von Botnet-Betreibern ausgenutzt, um Server zu übernehmen und zu missbrauchen. Auch die US-Cybersicherheitsbehörde CISA warnt vor bekannten Exploits und hat den Bug in ihre Liste der Schwachstellen, die aktiv ausgenutzt werden ("known exploited vulnerabilities list") aufgenommen.
Das Sicherheitsproblem betraf alle ActiveMQ-Versionen vor 5.15.16, 5.16.7, 5.17.6 und 5.18.3 auf jedem Betriebssystem und ist als kritisch eingestuft. Wer bis dato noch keinen Patch eingespielt hat, sollte seine ActiveMQ-Server genau unter die Lupe nehmen, besteht doch ein hohes Risiko, dass sie bereits unerbetenen Besuch erhalten haben.
Mittlerweile sind nämlich verschiedene Gruppen von Cyberkriminellen auf den Zug aufgesprungen und übernehmen Server mittels Exploits für die Sicherheitslücke mit der CVE-Kennung CVE-2023-46604. Dazu müssen sie lediglich eine speziell präparierte Anfrage im XML-Format bei einem verwundbaren ActiveMQ-Server stellen, um Shell-Kommandos ausführen zu können.
Im nächsten Schritt laden die Angreifer Schadcode aus dem Netz nach, um den frisch übernommenen Server für ihre kriminellen Machenschaften zu missbrauchen.
Cryptomining und Botnet-Zombies
Eine Gruppe von Kriminellen nutzt die Sicherheitslücke, um frisch gecrackte Rechner in ihr neues Botnet "GoTitan" aufzunehmen. Auch verschiedene Pentesting- und Fernzugriffs-Werkzeuge finden ihren Weg auf die kompromittierten ActiveMQ-Maschinen, wie eine Analyse des Fortinet-Sicherheitsteams beschreibt.
Die Angreifergruppe hinter der Malware "Kinsing" geht ähnlich vor, versucht jedoch vorher, Konkurrenz-Schadsoftware zu entfernen. Das geschieht natürlich aus reinem Eigennutz, denn Kinsing installiert unter anderem eine Software zum Crypto-Mining, die sich nicht mit konkurrierenden Prozessen um die wertvolle CPU-Zeit streiten soll. Auch eine auf Denial-of-Service-Angriffe spezialisierte Bande nutzt die Sicherheitslücke in ActiveMQ, um zusätzliche Angriffskraft zu sammeln.
Neue Deserialisierungslücke erlaubt Code-Ausführung
Derweil meldet das ActiveMQ-Projekt eine neue Sicherheitslücke, die ebenfalls zur Ausführung von Schadcode genutzt werden kann. Der Fehler verbirgt sich in der Deserialisierungsroutine der Jolokia-Komponente, setzt aber eine Authentisierung voraus. Während die ActiveMQ-Entwickler von einem mittleren Schweregrad ausgehen, vergeben der Warn- und Informationsdienst des BSI einen CVSS-Wert von 8.8 und stuft den Schweregrad somit als "hoch" ein.
Auch wenn die Auswirkungen der Sicherheitslücke derzeit noch nicht ganz klar sind, sollten ActiveMQ-Admins ein zügiges Upgrade auf die fehlerbereinigten Versionen 5.16.6, 5.17.4, 5.18.0 oder 6.0.0 erwägen.
(cku)
