Falha em filas assíncronas impulsiona ataque bilionário à C&M Software

 CVE-2023-46604 no Apache ActiveMQ permitiu invasão e desvio de mais de R$ 500 milhões


Hacker injetando malware/Reprodução: Gemini


A C&M Software, provedora de tecnologia para instituições financeiras, confirmou que o ataque sofrido em 1º de julho explorou a vulnerabilidade CVE-2023-46604 no Apache ActiveMQ, componente responsável pelo tratamento de filas assíncronas de mensagens.

 Investigadores da Polícia Civil e do Banco Central apuram um rombo estimado entre R$ 541 milhões e R$ 1 bilhão desviados de contas-reserva ligadas ao sistema Pix.

Como a brecha foi explorada

O ActiveMQ é um broker de mensagens que processa, de forma assíncrona, filas usadas para integrar serviços bancários. 

O CVE-2023-46604 permite execução remota de código (RCE) por desserialização insegura no protocolo OpenWire; basta acesso de rede e um payload manipulado para que o invasor execute comandos arbitrários no servidor.

Especialistas apontam que os servidores da C&M rodavam versões vulneráveis (5.17.x) sem os patches lançados em outubro de 2023. 

Uma vez dentro do broker, os atacantes capturaram mensagens de autenticação e escalaram privilégios até os sistemas transacionais.

Papel das credenciais vazadas e do insider

Além do exploit técnico, a investigação indica uso de credenciais de clientes vazadas e o envolvimento de um funcionário de TI da C&M, preso na zona norte da capital paulista.

 Ele admitiu ter vendido acesso por R$ 15 mil, facilitando o bypass de controles internos e acelerando a intrusão.

Impacto financeiro e resposta do Banco Central

O ataque gerou transferências em massa a partir das contas-reserva que bancos mantêm no BC para liquidação interbancária. 

O Banco Central determinou o isolamento imediato da C&M, obrigando as instituições a migrarem seus fluxos para canais redundantes enquanto a perícia avança.

Lições de segurança

  • Patch Management – A falha estava documentada e com correção disponível desde 27 de outubro de 2023.
  • Observabilidade de Negócio – Transações atípicas deveriam disparar alertas de risco, mesmo que tecnicamente válidas.
  • Segurança de Filas – Brokers de mensagem demandam isolamento de rede, TLS obrigatório e validação rígida de payload.
  • Zero-Trust & MFA – Adoção de autenticação multifatorial e revisão de acessos privilegiados poderiam ter contido o insider.

Próximos passos

A PF levantará se houve colaboração internacional e rastrear as transferências via blockchain analytics.

 O BC avalia impor requisitos mínimos de segurança para provedores de Banking-as-a-Service, incluindo auditorias semestrais e testes de invasão focados em filas assíncronas.

Enquanto isso, analistas recomendam que qualquer empresa executando ActiveMQ publique imediatamente as versões 5.18.3, 5.17.6, 5.16.7 ou 5.15.16 e monitore logs em busca de comandos suspeitos ou criação de novas rotas no broker.

Fonte: Safesrc YouTube/

Postar um comentário

Postagem Anterior Próxima Postagem