La faille Apache ActiveMQ exploitée par rançongiciel.

Le ransomware HelloKitty exploite désormais la faille Apache ActiveMQ dans les attaques. L’opération de rançongiciel HelloKitty exploite une faille d’exécution de code à distance (RCE) Apache ActiveMQ récemment révélée pour pirater les réseaux et chiffrer les appareils. La faille, suivie CVE-2023-46604, est d’une gravité critique (score CVSS v3 : 10,0) RCE permettant aux attaquants d’exécuter des commandes shell arbitraires en exploitant les types de classes sérialisées dans le protocole OpenWire.

CVE-2023-46604 : Apache ActiveMQ est vulnérable à l’exécution de code à distance. Cette vulnérabilité peut permettre à un attaquant distant disposant d’un accès réseau à un courtier d’exécuter des commandes shell arbitraires en manipulant des types de classes sérialisées dans le protocole OpenWire pour amener le courtier à instancier n’importe quelle classe sur le chemin de classe. Il est recommandé aux utilisateurs de passer à la version 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, qui résout ce problème.

Au début du mois d’octobre 2023, le code source du ransomware HelloKitty a été divulgué sur un forum de piratage. Un acteur malveillant a divulgué le code source complet de la première version du ransomware HelloKitty sur un forum de hacking russophone, prétendant développer un nouveau chiffreur plus puissant. La fuite a été découverte pour la première fois par le chercheur en cybersécurité 3xp0rt, qui a repéré un acteur menaçant nommé « kapuchin0 » publiant la « première branche » du chiffreur du ransomware HelloKitty.

Plus de trois mille serveurs Apache ActiveMQ exposés à Internet sont vulnérables à une vulnérabilité critique d’exécution de code à distance RCE (Remote Code Execution) récemment révélée. Apache ActiveMQ est un courtier de messages open source évolutif qui favorise la communication entre les clients et les serveurs, prenant en charge Java et divers clients multilingues ainsi que de nombreux protocoles, notamment AMQP, MQTT, OpenWire et STOMP.

Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent mais sans véritable garantie. De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.