Apache ActiveMQ Flaw Exploited to Deploy DripDropper Malware on Cloud Linux Systems

2 minute de lecture

Mis à jour : August 19, 2025

Apache ActiveMQ : Exploitation d’une faille pour déployer le malware DripDropper

Des acteurs malveillants exploitent une faille de sécurité ancienne dans Apache ActiveMQ pour obtenir un accès persistant aux systèmes Linux basés sur le cloud et y déployer un logiciel malveillant nommé DripDropper. Ce qui est inhabituel, c’est que les attaquants patchaient eux-mêmes la vulnérabilité une fois qu’ils avaient obtenu un accès initial, afin d’empêcher d’autres attaquants d’exploiter la même faille et de masquer leurs propres activités.

Les outils de commande et de contrôle utilisés après l’exploitation incluent Sliver et Cloudflare Tunnels pour maintenir un contrôle covert à long terme. La vulnérabilité exploitée est une faille d’exécution de code à distance (CVE-2023-46604) avec un score CVSS de 10.0, qui permet d’exécuter des commandes shell arbitraires. Elle a été corrigée fin octobre 2023. Cette faille a été largement exploitée pour déployer divers malwares, tels que le ransomware HelloKitty, des rootkits Linux, le botnet GoTitan et la web shell Godzilla.

Dans les attaques observées, les attaquants modifient la configuration SSH pour autoriser la connexion root, obtenant ainsi des privilèges élevés pour déployer DripDropper. Ce dernier est un programme téléchargeur qui communique avec un compte Dropbox contrôlé par l’attaquant, utilisant des services légitimes pour se fondre dans le trafic réseau normal. DripDropper facilite ensuite la communication avec Dropbox pour recevoir des instructions et assure sa persistance en modifiant les fichiers de planification système tels que “anacron”. Les attaquants s’assurent de leur accès persistant en téléchargeant et en appliquant eux-mêmes des correctifs pour la vulnérabilité CVE-2023-46604, une fois leurs mécanismes de persistance mis en place.

Points Clés :

Exploitation de la vulnérabilité CVE-2023-46604 dans Apache ActiveMQ.
Déploiement du malware DripDropper sur des systèmes Linux cloud.
Les attaquants patchaient la vulnérabilité après l’exploitation pour bloquer d’autres menaces.
Utilisation de Sliver et Cloudflare Tunnels pour le commandement et le contrôle.
Utilisation de services légitimes (Dropbox) pour la communication et la discrétion.
Mise en place de mécanismes de persistance via des modifications de la configuration SSH et des planificateurs de tâches.

Vulnérabilité :

CVE-2023-46604 : Vulnérabilité d’exécution de code à distance dans Apache ActiveMQ (CVSS 10.0).

Recommandations :

Appliquer les correctifs de sécurité en temps voulu, notamment pour Apache ActiveMQ.
Limiter l’accès aux services internes en configurant des règles d’accès par adresses IP de confiance ou VPN.
Surveiller activement les journaux des environnements cloud pour détecter toute activité anormale.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Apache ActiveMQ Flaw Exploited to Deploy DripDropper Malware on Cloud Linux Systems

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast