Apache ActiveMQ漏洞使Linux系统暴露于Kinsing恶意软件

Apache ActiveMQ中的一个关键漏洞CVE-2023-46604已被曝光，揭示了臭名昭著的Kinsing恶意软件的活跃利用场景。

根据趋势科技周一发布的一份报告，这一发现强调了Linux系统的影响，因为OpenWire命令中对可抛出类类型的验证不足，该漏洞允许远程代码执行(RCE)。

Apache ActiveMQ是一种基于java的开源协议，广泛用于面向消息的中间件，促进不同应用程序之间的无缝通信。

Kinsing是一种专门针对基于linux的系统的强大威胁，它利用web应用程序漏洞和配置错误的容器环境渗透服务器并迅速跨网络传播。

去年11月，有关CVE-2023-46604漏洞的报告浮出水面，攻击者利用了Metasploit和nucleus等漏洞。尽管该漏洞很严重(CVSS 9.8)，但检测率仍然相对较低。

Viakoo实验室副总裁John Gallagher解释说:“这个CVE的危险在于Apache ActiveMQ被广泛使用，因为它可以跨多种协议(如MQTT)进行通信，它也被广泛用于非it环境中，以连接IoT/OT/ICS设备。”

许多物联网设备具有强大的处理能力，但缺乏修补策略，这使得(加密)挖掘成为他们的理想活动。

Kinsing漏洞利用ProcessBuilder方法，导致在受损系统上下载和执行加密货币矿工和恶意软件。值得注意的是，恶意软件积极寻找并消除竞争的加密货币矿工。

策划Kinsing的攻击者不仅利用了CVE-2023-46604漏洞，还利用了CVE-2023-4911 (Looney Tunables)等其他备受关注的漏洞。

趋势科技敦促用户及时升级以降低与此漏洞相关的风险。CVE-2023-46604补丁通过在Base Data Stream Marshall类中引入validateIsThrowable方法解决了根本原因。

Qualys网络威胁主管肯•邓纳姆(Ken Dunham)表示:“为了防范这种(威胁)，企业应优先考虑打补丁和补救措施，尤其是针对所有面向外部的风险和那些拥有高价值资产的风险。”

此外，建议采取预防措施，如广泛的监控和日志审查，以及适用的变通办法，以对抗已知的https暴力攻击和已知的攻击，直到被利用的风险得到完全修复。