Una grave vulnerabilità di sicurezza individuata in Apache ActiveMQ, identificata come CVE-2023-46604, continua a rappresentare un serio rischio per i sistemi cloud basati su Linux. Questa falla, che permette l’esecuzione remota di codice con un punteggio CVSS di 10.0, è stata sfruttata da numerosi gruppi di cybercriminali per installare malware e ottenere accesso persistente ai server. Tra le minacce emerse, spicca il malware DripDropper, utilizzato per mantenere il controllo sulle macchine compromesse e facilitare ulteriori attacchi.

Attacco tramite la vulnerabilità e distribuzione di DripDropper

Gli attaccanti sfruttano la vulnerabilità di Apache ActiveMQ per accedere ai sistemi target e, subito dopo l’intrusione, apportano modifiche alle configurazioni sshd per abilitare l’accesso root. Questo consente di installare DripDropper, un file ELF realizzato tramite PyInstaller che richiede una password per l’esecuzione, rendendo più difficile l’analisi da parte dei ricercatori di sicurezza. DripDropper comunica con account Dropbox controllati dagli aggressori per ricevere ulteriori istruzioni e scaricare file aggiuntivi, sfruttando così servizi legittimi per camuffare le proprie attività malevole e aggirare i controlli di rete.

Patching della vulnerabilità per persistenza e offuscamento

Un aspetto particolarmente sofisticato di questa campagna è la scelta degli attaccanti di “patchare” la stessa vulnerabilità utilizzata per la compromissione, una volta ottenuto l’accesso iniziale. In questo modo impediscono che altri malintenzionati possano sfruttare la stessa falla e riducono le probabilità di essere scoperti dagli amministratori di sistema. Questa tecnica, seppur rara, non è nuova: anche altri gruppi avanzati hanno adottato la strategia di correggere le vulnerabilità dopo aver ottenuto l’accesso come metodo di persistenza e per mascherare il vettore di attacco originale.

Componenti di DripDropper e metodologie di persistenza

Il malware DripDropper scarica due componenti principali: uno modifica i file cron come 0anacron in varie directory di sistema per assicurare la persistenza, mentre l’altro mantiene la comunicazione con Dropbox e modifica ulteriormente le configurazioni SSH per garantire un punto di accesso di riserva. Dopo aver consolidato la loro presenza, gli attaccanti scaricano e applicano le patch ufficiali per la vulnerabilità da Apache Maven, assicurandosi che la porta d’ingresso originaria non sia più disponibile per altri.

Raccomandazioni per la sicurezza dei sistemi cloud

Questa ondata di attacchi sottolinea l’importanza di applicare tempestivamente le patch di sicurezza, limitare l’accesso ai servizi esposti solo a indirizzi IP affidabili o tramite VPN e monitorare costantemente i log dei sistemi cloud per individuare comportamenti anomali. Una gestione proattiva delle vulnerabilità e un’attenta sorveglianza sono fondamentali per prevenire l’escalation delle minacce e la compromissione dei dati aziendali.