27 Ekim’de Apache Yazılım Vakfı (ASF), Apache ActiveMQ’da uzaktan kod yürütme (RCE) sağlamak için kullanılabilecek çok ciddi bir güvenlik açığını duyurdu. Siber Güvenlik ve Altyapı Güvenliği Ajansı, aktif istismar kanıtlarına dayanarak bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının, cihazlarını aktif tehditlere karşı korumak için 11 Kasım 2023’e kadar bu güvenlik açığını gidermeleri gerektiği anlamına geliyor.
Katalog, suçluların aktif olarak kullandığı güvenlik açıklarının bir listesidir; dolayısıyla diğer herkesin sorunu düzeltmek veya hafifletmek için hızlı bir şekilde harekete geçmesi gerekir. Bu durumda suçlular FiveHands fidye yazılımı olarak da bilinen HelloKitty fidye yazılımı grubunu oluşturuyor veya en azından bu grubu içeriyor. Grup ilk olarak Kasım 2020’de görüldü ve genellikle verileri hem çalmak hem de şifrelemek için çifte gasp yöntemini kullanıyor.
ASF güvenlik açığını şu şekilde açıklıyor:
Güvenlik açığı, aracıya ağ erişimi olan uzak bir saldırganın, aracının sınıf yolundaki herhangi bir sınıfı başlatmasına neden olacak şekilde OpenWire protokolündeki serileştirilmiş sınıf türlerini değiştirerek rasgele kabuk komutları çalıştırmasına izin verebilir.
Apache ActiveMQ®, popüler bir açık kaynak, çoklu protokol, Java tabanlı mesaj komisyoncusu olan “ara katman yazılımıdır”. Bunun gibi mesaj aracıları genellikle farklı uygulamalar ve sistem bileşenleri arasında güvenilir iletişim oluşturmak için kullanıldıkları kurumsal sistemlerde bulunur. OpenWire, mesaj odaklı ara yazılımlarla çalışmak üzere tasarlanmış bir protokoldür. ActiveMQ’nun yerel kablolu formatıdır.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Apache ActiveMQ’daki CVE şu şekilde listelenir:
CVE-2023-46604 (CVSS3 puanı 10 üzerinden 10): OpenWire komutları sıralanmamış olduğundan, saldırgan OpenWire protokolünde serileştirilmiş sınıf türlerini değiştirerek aracının sınıf yolunda herhangi bir sınıfı başlatmasına neden olabilir. Sınıf yolu, Java Sanal Makinesinde veya Java derleyicisinde, kullanıcı tanımlı sınıfların ve paketlerin konumunu belirten bir parametredir. Bu, güvenilmeyen veri güvenlik açığının seri durumdan çıkarılmasına neden oldu. Sorunu çözmek için Openwire sıralayıcı doğrulama testinin iyileştirilmesi gerekiyordu.
Bu güvenlik açığından başarıyla yararlanmak için üç şey gereklidir:
- Ağ Girişi
- Değiştirilmiş bir OpenWire “komutu” (sınıf yolunda bir String parametresiyle rastgele bir sınıf başlatmak için kullanılır)
- Sınıf yolundaki, rastgele kodu yalnızca bir String parametresiyle başlatarak çalıştırabilen bir sınıf.
Güvenlik açığını düzeltmeye yönelik bir güvenlik güncellemesi 25 Ekim 2023’te kullanıma sunuldu, ancak 30 Ekim itibarıyla hâlâ istismara açık bir sürümü kullanan, internete açık 3.329 sunucu vardı. Kullanıcıların Apache ActiveMQ’yu bu sorunu çözen 5.15.16, 5.16.7, 5.17.6 veya 5.18.3 sürümüne yükseltmeleri önerilir. Hem “Klasik” hem de “Artemis” kullanıcılarının yükseltme yapması önerilir.
Bu FBI raporunda çok sayıda Uzlaşma Göstergesi (IOC) bulunabilir.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Malwarebytes Yönetilen Tespit ve Yanıt (MDR), güvenlik kaynakları açığınızı basit ve etkili bir şekilde kapatır, bilinmeyen tehdit riskinizi azaltır ve güvenlik verimliliğinizi katlanarak artırır. Malwarebytes MDR, kritik tehditlerin hızlı bir şekilde tanımlanmasını ve kapsamlı bir müdahalenin hızlı bir şekilde uygulanmasını sağlayan, müşteri uç noktalarıyla uygulamalı olan son derece deneyimli Tier 2 ve Tier 3 analistlerinden oluşan bir kadroya sahiptir.
MDR hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.