標題：CVE-2023-46604 (Apache ActiveMQ)利用加密礦工和rootkit實施系統攻擊

我們發現利用Apache ActiveMQ漏洞CVE-2023-46604下載並攻擊Linux系統的Kinsing惡意軟件(也稱為h2miner)和加密貨幣礦工被利用時，此漏洞會導致遠程代碼執行(RCE)， Kinsing使用它來下載和安裝惡意軟件。

該漏洞本身是由於OpenWire命令未能驗證未經檢測類類型而導致RCE。

ActiveMQ(用Java編寫)是一個由Apache開發的開源協議，它實現了面向消息的中間件(MOM)。它的主要功能是在不同的應用程序之間發送消息，還包括STOMP、Jakarta Messaging (JMS)和OpenWire等附加特性。

Kinsing惡意軟件是一種主要針對基於linux的系統的嚴重威脅，可以滲透服務器並在網絡中迅速傳播。它通過利用web應用程序或配置錯誤的容器環境中的漏洞進入。

最近，Kinsing背後的攻擊組織一直在利用CVE-2023-4911 (Looney Tunables)漏洞。一旦Kinsing攻擊了一個系統，它就會部署一個加密貨幣挖掘腳本，利用主機的資源來挖掘比特幣等加密貨幣，從而對基礎設施造成嚴重破壞，並對系統性能產生負面影響。

受影響的ActiveMQ版本以下是受CVE-2023-46604漏洞影響的Apache ActiveMQ版本：

Apache ActiveMQ 5.18.0 5.18.3之前的版本；

Apache ActiveMQ 5.17.0 5.17.6之前的版本；

Apache ActiveMQ 5.16.0 5.16.7之前的版本；

5.15.16之前的Apache ActiveMQ；

Apache ActiveMQ Legacy OpenWire Module 5.18.0 before 5.18.3；

Apache ActiveMQ Legacy OpenWire Module 5.17.0 before 5.17.6；

Apache ActiveMQ Legacy OpenWire Module 5.16.0 before 5.16.7；

Apache ActiveMQ Legacy OpenWire Module 5.8.0 before 5.15.16；

建議用戶將Java OpenWire代理和客戶機升級到版本5.15.16、5.16.7、5.17.6或5.18.3，因為其中任何一個版本都可以修復此漏洞。

CVE-2023-46604補丁差異基於AMQ-9370，我們能夠檢查漏洞出現的根本原因，與OpenWire命令解組時可拋出類類型驗證有關的問題。

OpenWire是一種二進制協議，專門設計用於處理面向消息的中間件。它充當ActiveMQ的本機連接格式，ActiveMQ是一個廣泛使用的開源消息傳遞和集成平台，與其他格式相比，OpenWire的二進制格式提供了幾個優勢，比如它對帶寬的有效利用以及支持多種消息類型的能力。這些特性使其成為需要可靠和高性能消息傳遞系統的企業和組織的理想選擇。

基於補丁差異，我們可以看到validateIsThrowable方法已經包含在BaseDataStreamMarshall類中。

validateIsThrowable方法包含在BaseDataStreamMarshall類中

無法驗證Throwable類的類類型

當編組器無法驗證Throwable (Java中表示異常和錯誤的對象)的類類型時，它可能會意外地創建並執行任何類的實例。這將導致RCE漏洞允許攻擊者在服務器或應用程序上執行任意代碼。因此，必須確保始終驗證Throwable的類類型，以防止潛在的安全風險。

檢測自11月初以來，已經出現了幾起活躍樣本。這些報告是關於積極利用CVE-2023-46604的攻擊者(例如HelloKitty勒索軟件家族背後的攻擊者)，以及Metasploit和nucleus等概念驗證漏洞。考慮到CVE-2023-46604的CVSS評分為9.8，總體檢測率仍然很低。

基於Kinsing使用的漏洞，我們提供了一個可用於掃描的YARA規則：

惡意利用CVE-2023-46604漏洞目前，存在利用ProcessBuilder方法在受影響的系統上執行命令的公開漏洞。在Kinsing的背景下，CVE-2023-46604被用來在易受攻擊的系統上下載和執行Kinsing加密貨幣礦工和惡意軟件。

使用ProcessBuilder方法進行開發

一旦成功利用，加密貨幣礦工和惡意軟件將下載惡意安裝程序，然後使用bash執行惡意腳本。

通過bash執行惡意腳本

一旦bash腳本被執行，Kinsing惡意軟件就會從命令與控制(CC)服務器為各種體系結構下載額外的二進製文件和有效負載。

從CC服務器下載額外的二進製文件和有效負載

Kinsing惡意軟件的一個有趣特徵是，它在進程、crontab和活動網絡連接中積極尋找正在活動的加密貨幣礦工，例如與Monero綁定的礦工或利用Log4Shell和WebLogic漏洞的礦工，然後繼續阻止它們的進程和網絡連接。此外，Kinsing從受攻擊主機的crontab中刪除有競爭關係的惡意軟件和礦工。

為Kinsing二進製文件分配一個Linux環境變量，然後執行它。

最後，Kinsing每分鐘添加一個cronjob來下載並執行它的惡意引導腳本。

每分鐘負責下載和執行Kinsing的惡意引導腳本的cronjob

這確保了受影響主機上的持久性，並確保最新的惡意Kinsing二進製文件在受影響主機上可用。

Kinsing通過在/etc/ld.so中加載它的rootkit來加倍地使用它的持久性和攻擊性預加載，完成一個完整的系統攻擊。

加載Kinsing rootkit“/etc/ld.so.preload”

總結CVE-2023-46604漏洞仍然在被各種攻擊者利用，例如Kinsing惡意軟件利用背後的組織，濫用此漏洞執行惡意活動。

使用有Apache ActiveMQ時必須立即採取行動，盡快修補CVE-2023-46604漏洞，並降低與Kinsing相關的風險。鑑於惡意軟件跨網絡傳播和善於利用其他漏洞的特點，當務之急要維護最新的安全補丁，定期審計配置，並監控網絡流量異常活動，這些都是綜合網絡安全戰略的關鍵組成部分。