Siber güvenlik araştırmacıları, bellekte rastgele kod yürütülmesini sağlamak için Apache ActiveMQ’daki kritik bir güvenlik açığından yararlanan yeni bir teknik gösterdi.
Şu şekilde izlendi: CVE-2023-46604 (CVSS puanı: 10,0), güvenlik açığı, bir tehdit aktörünün rastgele kabuk komutları çalıştırmasına izin verebilecek bir uzaktan kod yürütme hatasıdır.
Geçen ayın sonlarında yayımlanan ActiveMQ 5.15.16, 5.16.7, 5.17.6 veya 5.18.3 sürümlerinde Apache tarafından yama uygulandı.
Bu güvenlik açığı o zamandan bu yana, HelloKitty gibi fidye yazılımlarını ve TellYouThePass ile benzerlikleri paylaşan bir türün yanı sıra SparkRAT adlı uzaktan erişim truva atını dağıtmak için fidye yazılımı ekipleri tarafından aktif olarak istismar edildi.
VulnCheck’in yeni bulgularına göre, kusuru silah haline getiren tehdit aktörleri, ilk olarak 25 Ekim 2023’te açıklanan kamuya açık bir kavram kanıtlama (PoC) istismarına güveniyor.
Saldırıların, HTTP üzerinden kötü amaçlı bir XML çekirdeği yapılandırma dosyası yüklemek ve sunucuda kimliği doğrulanmamış uzaktan kod yürütmek için Spring çerçevesinin bir parçası olan ve ActiveMQ içinde bulunan bir sınıf olan ClassPathXmlApplicationContext’i kullandığı tespit edildi.
Yöntemi gürültülü olarak nitelendiren VulnCheck, aynı sonuçları elde etmek ve hatta bir ters kabuk elde etmek için FileSystemXmlApplicationContext sınıfına dayanan ve “init-method” özelliğinin yerine özel hazırlanmış bir SpEL ifadesi yerleştiren daha iyi bir istismar tasarladı.
VulnCheck, “Bu, tehdit aktörlerinin araçlarını diske bırakmaktan kaçınabilecekleri anlamına geliyor” dedi. “Şifreleyicilerini Nashorn’da yazabilirlerdi (veya belleğe bir sınıf/JAR yükleyebilirlerdi) ve bellekte yerleşik kalabilirlerdi.”
Ancak bunu yapmanın activemq.log dosyasında bir istisna mesajını tetiklediğini ve saldırganların adli tıp izini temizlemek için de adımlar atmasını gerektirdiğini belirtmekte fayda var.
Siber güvenlik firması, “Artık saldırganların CVE-2023-46604 kullanarak gizli saldırılar gerçekleştirebileceğini bildiğimize göre, ActiveMQ sunucularınıza yama uygulamak ve ideal olarak onları internetten tamamen kaldırmak daha da önemli hale geldi” dedi.