CVE-2023-46604 no Apache ActiveMQ permitiu invasão e desvio de mais de R$ 500 milhões
| Hacker injetando malware/Reprodução: Gemini |
A C&M Software, provedora de tecnologia para instituições financeiras, confirmou que o ataque sofrido em 1º de julho explorou a vulnerabilidade CVE-2023-46604 no Apache ActiveMQ, componente responsável pelo tratamento de filas assíncronas de mensagens.
Investigadores da Polícia Civil e do Banco Central apuram um rombo estimado entre R$ 541 milhões e R$ 1 bilhão desviados de contas-reserva ligadas ao sistema Pix.
Como a brecha foi explorada
O ActiveMQ é um broker de mensagens que processa, de forma assíncrona, filas usadas para integrar serviços bancários.
O CVE-2023-46604 permite execução remota de código (RCE) por desserialização insegura no protocolo OpenWire; basta acesso de rede e um payload manipulado para que o invasor execute comandos arbitrários no servidor.
Especialistas apontam que os servidores da C&M rodavam versões vulneráveis (5.17.x) sem os patches lançados em outubro de 2023.
Uma vez dentro do broker, os atacantes capturaram mensagens de autenticação e escalaram privilégios até os sistemas transacionais.
Papel das credenciais vazadas e do insider
Além do exploit técnico, a investigação indica uso de credenciais de clientes vazadas e o envolvimento de um funcionário de TI da C&M, preso na zona norte da capital paulista.
Ele admitiu ter vendido acesso por R$ 15 mil, facilitando o bypass de controles internos e acelerando a intrusão.
Impacto financeiro e resposta do Banco Central
O ataque gerou transferências em massa a partir das contas-reserva que bancos mantêm no BC para liquidação interbancária.
O Banco Central determinou o isolamento imediato da C&M, obrigando as instituições a migrarem seus fluxos para canais redundantes enquanto a perícia avança.
Lições de segurança
- Patch Management – A falha estava documentada e com correção disponível desde 27 de outubro de 2023.
- Observabilidade de Negócio – Transações atípicas deveriam disparar alertas de risco, mesmo que tecnicamente válidas.
- Segurança de Filas – Brokers de mensagem demandam isolamento de rede, TLS obrigatório e validação rígida de payload.
- Zero-Trust & MFA – Adoção de autenticação multifatorial e revisão de acessos privilegiados poderiam ter contido o insider.
Próximos passos
A PF levantará se houve colaboração internacional e rastrear as transferências via blockchain analytics.
O BC avalia impor requisitos mínimos de segurança para provedores de Banking-as-a-Service, incluindo auditorias semestrais e testes de invasão focados em filas assíncronas.
Enquanto isso, analistas recomendam que qualquer empresa executando ActiveMQ publique imediatamente as versões 5.18.3, 5.17.6, 5.16.7 ou 5.15.16 e monitore logs em busca de comandos suspeitos ou criação de novas rotas no broker.
Fonte: Safesrc YouTube/