Apache ActiveMQ 漏洞与 Kinsing 恶意软件攻击

关键要点

• Apache ActiveMQ 的关键漏洞（CVSS 9.8）受到积极利用，导致 Linux 系统遭受 Kinsing 恶意软件和加密货币矿工的攻击。
• CVE-2023-46604 漏洞允许远程代码执行，Kinsing 利用该漏洞下载并安装恶意软件。
• Kinsing 恶意软件主要针对 Linux 系统，通过利用网络应用程序的漏洞或配置不当的容器环境进行入侵。
• 尽管 Kinsing 已经存在了一段时间，但近期它利用了多个高风险漏洞，给基础设施和系统性能带来了严重损害。

近日，研究人员观察到 Apache ActiveMQ 的一个关键漏洞正在被积极利用，攻击者试图下载并感染 Linux 系统，使用 Kinsing恶意软件进行加密货币挖矿。根据 Trend Micro 于 11 月 20 日的 ，利用 CVE-2023-46604 漏洞可导致远程代码执行（RCE），Kinsing 利用这一点来下载和安装恶意软件。

Kinsing 恶意软件的影响

Kinsing 恶意软件被认为是一个关键威胁，主要针对基于 Linux的系统，通过利用网络应用程序中的漏洞或配置不当的容器环境迅速入侵服务器并在网络中传播。Kinsing一旦感染系统，便会部署一个加密货币矿工脚本，利用主机资源进行比特币挖矿，对基础设施造成重大损害，并对系统性能产生负面影响。

“Kinsing 擅长进行以降落和扩展为目标的攻击，这使得它成为任何配置不当的云环境的危险推动者，容易被利用。” - Ken Dunham, Qualys 网络威胁安全经理

CVE-2023-46604 的广泛利用

Ken Dunham 指出，Kinsing 自2020年以来成功利用配置不当的云 Docker容器，并通过暴力破解尝试进行横向移动。他表示，由于存在可在网络上获取的利用代码，目前针对 CVE-2023-46604 的广泛滥用正在进行中，Kinsing及其他恶意软件组织也在不断攻击。

另外，Viakoo Labs 的副总裁 John Gallagher 提到，Apache ActiveMQ的广泛使用使其容易受到攻击。它能够跨多个协议进行通信，广泛应用于非IT环境中的 IoT/OT/ICS 设备中。然而，许多组织在保持 IoT设备的及时更新方面存在困难，因此 Kinsing 选择该漏洞以进行长时间的加密矿业处理。

应对建议

Dunham建议组织应优先考虑补丁和修复，特别针对所有外部暴露和具有高价值资产的情况。此外，建议采取广泛的监控和日志审查，以应对已知的攻击手法，直至完全消除漏洞风险。

总结来说，Kinsing 恶意软件利用 Apache ActiveMQ 漏洞的情况让人警惕，各组织应尽快采取措施进行防范。