Tehdit aktörleri, mesajlaşma sistemlerine yetkisiz erişim sağlamak için Apache ActiveMQ güvenlik açığını etkin bir şekilde hedefledi ve bu da olası veri ihlallerine ve sistem güvenliğinin ihlal edilmesine yol açtı.
Bu arada, “CVE-2023-46604” olarak takip edilen Apache ActiveMQ güvenlik açığı iletişimi bozmak, hizmet kesintilerine neden olmak ve fidye yazılımını (HelloKitty) dağıtmak için de kullanılabilir.
Sekoia’daki siber güvenlik araştırmacıları yakın zamanda Kinsing Kötü Amaçlı Yazılımının Linux sunucusuna saldırmak için bu Apache ActiveMQ güvenlik açığından (CVE-2023-46604) aktif olarak yararlandığını tespit etti.
Apache ActiveMQ Güvenlik Açığı İstismar Edildi
Bu güvenlik açığı 27 Ekim 2023’te açıklandı; Bu, CVSS3 kritik puanı 9,8 olan ciddi bir OpenWire modülü güvenlik açığıdır. Bu kusur, kimliği doğrulanmamış saldırganların kod yürütmesine olanak tanır.
Seri durumdan çıkarma doğrulamasının gecikmesinden kaynaklanan kusur, özellikle ExceptionResponseMarshaller’ı etkiliyor. Saldırganlar, silah haline getirilmiş, atılabilir bir sınıf oluşturarak bundan yararlanabilirler.
ClassPathXmlApplicationContext, silah haline getirilmiş bir XML dosyası aracılığıyla değiştirilebilir ve kod yürütme olanağı sağlanır. Metasploit ve benzeri PoC’ler bu kusurdan yararlanır.
Yamalar 28 Ekim 2023’te yayınlandı ve aşağıdaki sürümlere güncelleme yapılması çağrısında bulundu: –
- 5.15.16
- 5.16.7
- 5.17.6
- 5.18.3
Güncelleme mümkün değilse, OpenWire erişimini İnternet’ten engellediğinizden emin olun; bu, riski azaltacaktır.
Araştırmacılar, ActiveMQ v5.17.5’i kullanarak bal küplerini dünya çapında dağıttı. Sekoia Linux aracısı ve Suricata IDS ile izlenen ana bilgisayar.
Honeypot’lar 9 Kasım 2023’ten beri aktifti ve ilk Kinsing saldırısı 11 Kasım’da izlendi. 12 Kasım’dan bu yana günlük 2-3 Kinsing izinsiz girişi kaydedildi ve saldırılar aşağıdaki iki IP adresinden gerçekleştirildi: –
- 109.237.96[.]124
- 78.153.140[.]30
Hareketler Gerçekleştirildi Kinsing Kötü Amaçlı Yazılım tarafından
Aşağıda Kinsing kötü amaçlı yazılımının gerçekleştirdiği tüm eylemlerden bahsettik: –
- Kök seti
- Rakipleri kaldır
- İndirin ve çalıştırın
- Kalıcılık oluşturun
- Güvenlik duvarı kurallarını kaldır
- Rakipleri siler
- Bir crontab kurar
Kinsing kötü amaçlı yazılım özellikleri
Aşağıda Kinsing kötü amaçlı yazılımının tüm özelliklerinden bahsettik: –
- SHA256 karması: 787e2c94e6d9ce5ec01f5cbe9ee2518431eca8523155526d6dc85934c9c5787c
- Boyut: 5,69 MBayt
- Dosya: ELF 64 bit LSB çalıştırılabilir, x86-64, sürüm 1 (SYSV), statik olarak bağlantılı, çıkarılmış
- Derleyici: Go1.17.13
Fonksiyonlar
Kötü amaçlı yazılım kodu 60’tan fazla işlev içerir ve aşağıda bunlardan birkaçından bahsettik: –
- getActiveC2Url
- /mu’da POST
- /ki üzerinde POST
- GET / al
- kitle taraması
- redisBrute
Dağıtılan kripto madenci XMRig’dir ve UPX, yapılandırma ayrıntılarıyla doludur. Sıkıştırılmış haldeyken bir Monero cüzdanını ortaya çıkarır (46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb) ve nanopool.org URL’si.
Ancak bu cüzdan Kasım 2019’dan beri aktif değil. CTI Raporları bu cüzdanı Kinsing’e bağlıyor ama öyle.
Çok sayıda ihlal, güvenlik güncellemelerini hızlı bir şekilde uygulamanın ve özellikle docker’lı hizmetlerde zayıf noktalar üzerinde sıkı kontrol sağlamanın ne kadar önemli olduğunu vurguluyor.