ActiveMQは、Javaで書かれたオープンソースのメッセージブローカーです。
メッセージキューイングシステムの一種で、システム間での非同期なメッセージ交換を可能にします。
様々なプロトコル(AMQP、STOMP、MQTTなど)や言語(Java、C、C++、Ruby、Pythonなど)に対応しており、柔軟性と拡張性に優れています。
このActiveMQの古い脆弱性が悪用されている事例が観測されています。
- CVE-2023-46604
この脆弱性はその名称からもわかるように2年前の2023年に確認されたものです。
この問題は2023年10月下旬に修正されました。
CVSSスコアは10.0で最大です。
この脆弱性を悪用されると、任意のシェルコマンドが実行される可能性があります。
このセキュリティ上の欠陥は頻繁に複数の脅威アクターに悪用され、 HelloKittyランサムウェア、Linuxルートキット、GoTitanボットネットマルウェア、Godzilla Webシェルなど、さまざまなペイロードを展開してきています。
そこに、さらに新たな活動が加わりました。
DripDropperという新たなローダーが使われていました。
DripDropperの展開される様子は次のような流れです。
- 侵入する
まずは侵入します。
CVE-2023-46604の残ったままの脆弱なエンドポイントをエクスプロイトしてSliverインプラントをインストールします。 - 昇格する
次に特権昇格します。 - 永続化する
昇格できると、次はsshdの設定を変更します。
sshdは、SSH(通信が暗号化されたtelnetのようなもの)で接続されるのを待ち受けて、接続してきた相手に対話シェルなどを提供することができる常駐システムです。
今時のLinux系ディストリビューションのsshdの初期設定では、管理ユーザでの直接ログインは無効化されているのですが、この設定を変更します。
これで攻撃者は自由になんでもリモート操作できる状態になります。 - DripDropperを設置する
攻撃の内容を開始します。
DripDropperを設置します。
これはバイナリ形式のファイルになっていて、実行時にはパスワード入力を必要とします。
これは解析の回避のための機構でしょう。
実行されたDripDropperは、2つのペイロードをDropboxから取得し設置します。
設置されたペイロードで、攻撃者はDropboxをC2のように利用できる機能を実現します。 - 正規のパッチを適用する
DripDropperを設置した攻撃者はもう対象のシステムに自由にアクセスでき、コマンド実行も受有にできる状態になりました。
この時点ですでにCVE-2023-46604はこの攻撃者にとっては不要なものとなっています。
別の攻撃者が同じシステムに相乗りしないためでしょうか、それとも、脆弱性の悪用に気がつかれないようにするためでしょうか、攻撃者はCVE-2023-46604の正規のパッチをシステムに適用します。
これで対象システムはDripDropperを設置した攻撃者だけが利用できる状態にできました。
侵入し、足場を固めたら、侵入経路を閉じておく、という感じです。
この攻撃例に限った話ではなく、最近は同じように脆弱性を使ったら、そっと閉じておくといった活動が確認されています。
脆弱性対策が実施されている状態にあるから攻撃されていない状態とは限らないということでしょうか。
こうした事態にならないように、自分たち自身で適切なパッチケイデンスでのシステム運用を維持したいものですね。
Patching for persistence: How DripDropper Linux malware moves through the cloud
https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/
| この記事をシェア |
|
|---|
