La faille Apache ActiveMQ exploitée par rançongiciel.

La faille Apache ActiveMQ exploitée par rançongiciel.

Le ransomware HelloKitty exploite désormais la faille Apache ActiveMQ dans les attaques. L’opération de rançongiciel HelloKitty exploite une faille d’exécution de code à distance (RCE) Apache ActiveMQ récemment révélée pour pirater les réseaux et chiffrer les appareils. La faille, suivie CVE-2023-46604, est d’une gravité critique (score CVSS v3 : 10,0) RCE permettant aux attaquants d’exécuter des commandes shell arbitraires en exploitant les types de classes sérialisées dans le protocole OpenWire.

CVE-2023-46604 : Apache ActiveMQ est vulnérable à l’exécution de code à distance. Cette vulnérabilité peut permettre à un attaquant distant disposant d’un accès réseau à un courtier d’exécuter des commandes shell arbitraires en manipulant des types de classes sérialisées dans le protocole OpenWire pour amener le courtier à instancier n’importe quelle classe sur le chemin de classe. Il est recommandé aux utilisateurs de passer à la version 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, qui résout ce problème.

Au début du mois d’octobre 2023, le code source du ransomware HelloKitty a été divulgué sur un forum de piratage. Un acteur malveillant a divulgué le code source complet de la première version du ransomware HelloKitty sur un forum de hacking russophone, prétendant développer un nouveau chiffreur plus puissant. La fuite a été découverte pour la première fois par le chercheur en cybersécurité 3xp0rt, qui a repéré un acteur menaçant nommé « kapuchin0 » publiant la « première branche » du chiffreur du ransomware HelloKitty.

Plus de trois mille serveurs Apache ActiveMQ exposés à Internet sont vulnérables à une vulnérabilité critique d’exécution de code à distance RCE (Remote Code Execution) récemment révélée. Apache ActiveMQ est un courtier de messages open source évolutif qui favorise la communication entre les clients et les serveurs, prenant en charge Java et divers clients multilingues ainsi que de nombreux protocoles, notamment AMQP, MQTT, OpenWire et STOMP.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut