Il malware Kinsing sta sfruttando attivamente la vulnerabilità critica CVE-2023-46604 nel broker di messaggi open-source Apache ActiveMQ per compromettere i sistemi Linux attraverso un rootkit.
Vulnerabilità e attacchi
La falla permette l’esecuzione remota di codice ed è stata corretta a fine ottobre. La divulgazione di Apache spiega che il problema consente l’esecuzione di comandi shell arbitrari sfruttando tipi di classi serializzate nel protocollo OpenWire. I ricercatori hanno scoperto che migliaia di server sono rimasti esposti agli attacchi dopo il rilascio della patch, e gruppi di ransomware come HelloKitty e TellYouThePass hanno iniziato a sfruttare l’opportunità.
Obiettivi di Kinsing
Kinsing malware mira ai sistemi Linux e il suo operatore è noto per sfruttare falle spesso trascurate dagli amministratori di sistema per prendere possesso dei privilegi di amministratore attraverso rootkit. In precedenza, si sono affidati a vulnerabilità come Log4Shell e un bug RCE di Atlassian Confluence per i loro attacchi. “Attualmente, esistono exploit pubblici che sfruttano il metodo ProcessBuilder per eseguire comandi sui sistemi interessati”, spiegano i ricercatori.
Metodologia e impatto
Il malware utilizza il metodo ‘ProcessBuilder’ per eseguire script bash dannosi e scaricare payload aggiuntivi sul dispositivo infetto da processi di sistema di nuovo livello. Questo metodo consente al malware di eseguire comandi e script complessi con un alto grado di controllo e flessibilità, evitando anche il rilevamento.
Prima di lanciare lo strumento di mining di criptovalute, Kinsing controlla la macchina alla ricerca di altri miner di Monero, uccidendo eventuali processi, crontab e connessioni di rete attive. Successivamente, stabilisce la persistenza tramite un cronjob che recupera l’ultima versione del suo script di infezione (bootstrap) e aggiunge anche un rootkit in ‘/etc/ld.so.preload’.
Rischi e prevenzione
L’aggiunta di un rootkit garantisce che il suo codice venga eseguito con ogni processo che si avvia sul sistema, rimanendo relativamente nascosto e difficile da rimuovere. Con l’aumento del numero di attori delle minacce che sfruttano CVE-2023-46604, le organizzazioni di vari settori rimangono a rischio se non correggono la vulnerabilità o controllano i segni di compromissione.
Per mitigare la minaccia, si raccomanda agli amministratori di sistema di aggiornare Apache Active MQ alle versioni 5.15.16, 5.16.7, 5.17.6 o 5.18.3, che affrontano il problema di sicurezza.