Bilgisayar Korsanları Apache ActiveMQ Güvenlik Açığı Aracılığıyla Linux Makinelerine Bulaşıyor

   Kasım 21, 2023  Posted in CyberSecurityNews


Apache ActiveMQ Güvenlik Açığı

Apache ActiveMQ, dağıtılmış uygulamaların mesaj alışverişinde bulunmasına olanak tanıyan Java tabanlı açık kaynaklı bir protokoldür.

Çeşitli programlama dillerinde yazılmış sistemler arasında veri paylaşımına yönelik güvenilir bir mesajlaşma platformu sağlamak amacıyla JMS API’yi kullanır.

Aşağıdaki özellikleri içerir: –

  • AYAĞIYLA EZMEK
  • Cakarta Mesajlaşma (JMS)
  • OpenWire

Trend Micro araştırmacıları yakın zamanda Apache ActiveMQ güvenlik açığının (CVE-2023-46604) Linux sistemlerine Kinsing kötü amaçlı yazılım bulaşması için aktif olarak kullanıldığını ortaya çıkardı. Güvenlik açığı, OpenWire komutlarındaki doğrulanmamış atılabilir sınıf türü nedeniyle RCE’ye neden oluyor.

Belge

Ücretsiz Web Semineri

Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği


Bilgisayar Korsanları Linux Makinelerine Bulaşıyor

Kinsing kötü amaçlı yazılımı, sunuculara sızarak bir ağa hızla yayılır ve öncelikle savunmasız web uygulamalarından veya yanlış yapılandırılmış kapsayıcılardan yararlanarak Linux sistemlerini hedefler.

Bunun yanı sıra Kinsing aktörleri, kripto para madenciliği komut dosyalarını dağıtmak, altyapıya zarar vermek ve virüslü sistemlerde performans düşüşüne neden olmak için CVE-2023-4911’i (Looney Tunables) kullanıyor.

Üstelik bu protokol, işletmelerde kritik olan yüksek performanslı iletişim için de uygundur. BaseDataStreamMarshall sınıfında validateIsThrowable fonksiyonunun varlığı yama farklılıklarıyla ortaya çıkar.

validateIsThrowable yöntemi (Kaynak - Trend Micro)
validateIsThrowable yöntemi (Kaynak – Trend Micro)

Sıralayıcıda Fırlatılabilir sınıf türünün kontrol edilmemesi, beklenmedik sınıf oluşumuna ve yürütülmesine neden olarak RCE güvenlik açıkları oluşturabilir.

Herhangi bir güvenlik sorununu önlemek için Throwable sınıf türünün sürekli olarak doğrulanmasının sağlanması kritik öneme sahiptir.

Kasım ayında, HelloKitty fidye yazılımı da dahil olmak üzere tehdit aktörleri tarafından özellikle CVE-2023-46604’ün aktif olarak kullanıldığı raporları görüldü. 9,8’lik yüksek CVSS puanına rağmen genel olarak düşük tespitler kaydedildi; kavram kanıtı istismarları şöyle:

Kinsing kötü amaçlı yazılımı, ProcessBuilder yöntemini kullanarak “CVE-2023-46604” kodunu kullanır ve ardından kripto para madencilerini ve kötü amaçlı yazılımları indirir.

Daha sonra, tam sistem uzlaşması için, rakip madencileri aktif olarak avlayıp ortadan kaldırır, /etc/ld.so.preload dosyasındaki cronjobs ve rootkit aracılığıyla kalıcılığı sağlar.

Kusur profili

  • CVE kimliği: CVE-2023-46604
  • Tanım: Java OpenWire protokol sıralayıcısı, Uzaktan Kod Yürütülmesine karşı savunmasızdır. Bu güvenlik açığı, Java tabanlı bir OpenWire aracısına veya istemciye ağ erişimi olan uzak bir saldırganın, OpenWire protokolündeki serileştirilmiş sınıf türlerini değiştirerek istemcinin veya aracının (sırasıyla) herhangi bir sınıfı başlatmasına neden olacak şekilde rastgele kabuk komutları çalıştırmasına izin verebilir. sınıf yolu.
  • Temel Puan: 9.8
  • Şiddet: Kritik
  • NVD Yayınlanma Tarihi: 27.10.2023
  • NVD’nin Son Değiştirilme Tarihi: 20.11.2023
  • Kaynak: Apache Yazılım Vakfı

Etkilenen ActiveMQ sürümleri

Aşağıda etkilenen tüm ActiveMQ sürümlerinden bahsettik: –

  • Apache ActiveMQ 5.18.0, 5.18.3’ten önce
  • Apache ActiveMQ 5.17.0, 5.17.6’dan önce
  • Apache ActiveMQ 5.16.0, 5.16.7’den önce
  • Apache ActiveMQ 5.15.16’dan önce
  • Apache ActiveMQ Eski OpenWire Modülü 5.18.0, 5.18.3 öncesi
  • Apache ActiveMQ Eski OpenWire Modülü 5.17.0, 5.17.6’dan önce
  • Apache ActiveMQ Eski OpenWire Modülü 5.16.0, 5.16.7’den önce
  • Apache ActiveMQ Eski OpenWire Modülü 5.8.0, 5.15.16’dan önce

CVE-2023-46604’ün özellikle Kinsing kötü amaçlı yazılımları tarafından yaygın şekilde kullanılması, önemli bir küresel güvenlik riski oluşturmaktadır.

Bu nedenle Apache ActiveMQ kullanıcılarının Kinsing tehditlerini yamalaması ve hafifletmesi için acil eyleme geçilmesi gerekiyor. Azaltımlar olarak ve sağlam bir siber güvenlik stratejisi için araştırmacılar şunları önerdi: –

  • Düzenli yama
  • Yapılandırma denetimleri
  • Ağ izleme

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.



Source link