Apache 軟件基金會 (ASF)于 10 月 27 日披露了一個被追蹤為CVE-2023-46604的漏洞，允許有權訪問 ActiveMQ 消息代理的遠程攻擊者在受影響的系統上執行任意命令。Rapid7 的研究人員報告稱，在ASF 披露漏洞的同一天，就觀察到了兩個針對該漏洞的利用活動。

Rapid7 托管檢測和響應團隊的研究人員在博客文章中表示，攻擊者都試圖在目標系統上部署勒索軟件二進制文件，以勒索受害者。

研究人員根據勒索信息和其他攻擊屬性，將惡意活動歸因于 HelloKitty 勒索軟件。至少從 2020 年起，HelloKitty 勒索軟件活動就一直在蔓延。作為向受害者勒索贖金的額外手段，其運營人員傾向于進行雙重勒索攻擊，不僅加密數據，還竊取數據。

Rapid7 威脅研究主管凱特琳·康登 (Caitlin Condon) 表示，該漏洞的利用代碼已公開，研究人員已經確認了可利用性。Rapid7 觀察到的威脅活動看起來像是自動利用，而且并不是特別復雜，因此建議企業組織迅速修補，以防止潛在的利用。

超過 3000 個系統容易受到攻擊

根據 ShadowServer 組織 10 月 30 日發布的數據，約有 3329 個連接互聯網的 ActiveMQ 系統容易受到 CVE-2023-46604 的攻擊。

ActiveMQ 是一個相對流行的開源代碼消息中間件，可促進不同應用程序、服務和系統之間的消息傳遞。ASF將該技術描述為“最流行的開源、多協議、基于 Java 的消息代理”。數據分析公司Enlyft估計約有 13120 家公司（大多數是中小型公司）使用 ActiveMQ。

CVE-223-466604 是一個不安全的反序列化錯誤，當應用程序在未首先驗證數據是否有效的情況下反序列化不受信任或受操縱的數據時，就會發生這種漏洞。攻擊者經常通過發送惡意制作的對象來利用此類缺陷，該對象在反序列化時會執行惡意或未經授權的代碼，從而導致違規和任意代碼執行。不安全的反序列化錯誤很常見，并且多年來一直是 OWASP 十大網絡應用程序漏洞類型列表中的常客。