Apache 軟件基金會 (ASF)于 10 月 27 日披露了一個被追蹤為CVE-2023-46604的漏洞，允許有權(quán)訪問 ActiveMQ 消息代理的遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意命令。Rapid7 的研究人員報告稱，在ASF 披露漏洞的同一天，就觀察到了兩個針對該漏洞的利用活動。

Rapid7 托管檢測和響應(yīng)團隊的研究人員在博客文章中表示，攻擊者都試圖在目標系統(tǒng)上部署勒索軟件二進制文件，以勒索受害者。

研究人員根據(jù)勒索信息和其他攻擊屬性，將惡意活動歸因于 HelloKitty 勒索軟件。至少從 2020 年起，HelloKitty 勒索軟件活動就一直在蔓延。作為向受害者勒索贖金的額外手段，其運營人員傾向于進行雙重勒索攻擊，不僅加密數(shù)據(jù)，還竊取數(shù)據(jù)。

Rapid7 威脅研究主管凱特琳·康登 (Caitlin Condon) 表示，該漏洞的利用代碼已公開，研究人員已經(jīng)確認了可利用性。Rapid7 觀察到的威脅活動看起來像是自動利用，而且并不是特別復雜，因此建議企業(yè)組織迅速修補，以防止?jié)撛诘睦谩?/p>

超過 3000 個系統(tǒng)容易受到攻擊

根據(jù) ShadowServer 組織 10 月 30 日發(fā)布的數(shù)據(jù)，約有 3329 個連接互聯(lián)網(wǎng)的 ActiveMQ 系統(tǒng)容易受到 CVE-2023-46604 的攻擊。

ActiveMQ 是一個相對流行的開源代碼消息中間件，可促進不同應(yīng)用程序、服務(wù)和系統(tǒng)之間的消息傳遞。ASF將該技術(shù)描述為“最流行的開源、多協(xié)議、基于 Java 的消息代理”。數(shù)據(jù)分析公司Enlyft估計約有 13120 家公司（大多數(shù)是中小型公司）使用 ActiveMQ。

CVE-223-466604 是一個不安全的反序列化錯誤，當應(yīng)用程序在未首先驗證數(shù)據(jù)是否有效的情況下反序列化不受信任或受操縱的數(shù)據(jù)時，就會發(fā)生這種漏洞。攻擊者經(jīng)常通過發(fā)送惡意制作的對象來利用此類缺陷，該對象在反序列化時會執(zhí)行惡意或未經(jīng)授權(quán)的代碼，從而導致違規(guī)和任意代碼執(zhí)行。不安全的反序列化錯誤很常見，并且多年來一直是 OWASP 十大網(wǎng)絡(luò)應(yīng)用程序漏洞類型列表中的常客。