يستهدف المتسللون حاليًا ثغرة حرجة في Apache ActiveMQ لتنزيل وإصابة أجهزة Linux ببرامج Kinsing الضارة وأداة تعدين العملات المشفرة.
في منشور بالمدونة نُشر يوم 20 نوفمبر، أفاد باحثو Trend Micro أن استغلال الثغرة الأمنية CVE-2023-46604 في بروتوكول ActiveMQ مفتوح المصدر يؤدي إلى تنفيذ تعليمات برمجية عن بُعد (RCE)، مما يسمح لـ Kinsing بتنفيذ التنزيل والتثبيت من البرامج الضارة.
بعد إصابة النظام، ينشر Kinsing برنامجًا نصيًا لتعدين العملات المشفرة يستغل موارد المضيف لاستخراج العملات المشفرة مثل Bitcoin. ولا يؤدي هذا إلى إلحاق أضرار جسيمة بالبنية التحتية فحسب، بل يؤثر أيضًا سلبًا على أداء النظام.
وأضاف الباحثون أن البرمجيات الخبيثة Kinsing تشكل تهديدًا كبيرًا، وتركز بشكل أساسي على الأنظمة المستندة إلى Linux. يتمتع هذا البرنامج الضار بالقدرة على اختراق الخوادم والانتشار بسرعة عبر الشبكة. يتضمن أسلوب الدخول استغلال نقاط الضعف الموجودة في تطبيقات الويب أو بيئات الحاويات التي تم تكوينها بشكل خاطئ.
وقال الباحثون في المنشور: “يجب على المنظمات التي تستخدم Apache ActiveMQ أن تتخذ إجراءات فورية لتصحيح CVE-2023-46604 في أقرب وقت ممكن وتخفيف المخاطر المرتبطة بـ Kinsing”. “نظرًا لقدرة البرامج الضارة على الانتشار عبر الشبكات واستغلال نقاط الضعف المتعددة، فمن المهم الحفاظ على تصحيحات أمنية محدثة، ومراجعة التكوينات بانتظام، ومراقبة حركة مرور الشبكة بحثًا عن أي نشاط غير عادي، وكلها مكونات مهمة لاستراتيجية شاملة للأمن السيبراني. “.
وأشار الباحثون إلى أن السبب الجذري للثغرة الأمنية يكمن في مشكلة تتعلق بالتحقق من صحة أنواع الفئات القابلة للرمي أثناء إلغاء تنظيم أوامر OpenWire.
ظهرت تقارير في وقت سابق من هذا الشهر بخصوص الاستغلال النشط لـ CVE-2023-46604، حيث يستخدم المتسللون عمليات استغلال مثل Metasploit وNuclei. على الرغم من الخطورة العالية للثغرة الأمنية، والتي تم تصنيفها عند CVSS 9.8، إلا أن مستوى الاكتشاف لا يزال منخفضًا نسبيًا.
سلط جون غالاغر، نائب رئيس Viakoo Labs، الضوء على أهمية مكافحة التطرف العنيف، مشددًا على الاستخدام الواسع النطاق لـ Apache ActiveMQ وقدرته على التواصل عبر بروتوكولات متعددة. بالإضافة إلى ذلك، أشار إلى استخدامها المكثف في البيئات غير المتعلقة بتكنولوجيا المعلومات للتفاعل مع أجهزة إنترنت الأشياء/OT/ICS.
وأشار غالاغر كذلك إلى أن العديد من المؤسسات تواجه تحديات في الحفاظ على تصحيح أجهزة إنترنت الأشياء. وبالنظر إلى هذا السيناريو، فإن اختيار Kinsing الاستراتيجي لاستغلال هذه الثغرة الأمنية يتماشى جيدًا مع هدفهم المتمثل في المعالجة المستدامة، خاصة بالنسبة لأنشطة مثل تعدين العملات المشفرة.
وقال غالاغر: “تتمتع العديد من أجهزة إنترنت الأشياء بقدرات معالجة قوية وتفتقر إلى سياسات التصحيح، مما يجعل التعدين نشاطًا مثاليًا لها”. “بعبارة أخرى، من المرجح أن Kinsing اختار استخدام CVE هذا لتعدين العملات المشفرة لأنهم يتوقعون أن تكون ثغرة أمنية طويلة الأمد؛ لن يكون لها أي معنى إذا كانت هذه ثغرة كان كينسينج يتوقع تصحيحها بسرعة.
