Fidye yazılımı kullanan saldırganlar, yakın zamanda düzeltilen bir güvenlik açığından (CVE-2023-46604) yararlanarak Apache ActiveMQ’nun eski sürümlerini çalıştıran sunuculara sızmaya çalışıyor.
“27 Ekim Cuma gününden itibaren Rapid7 Yönetilen Tespit ve Yanıt (MDR), Apache ActiveMQ CVE-2023-46604’ün iki farklı müşteri ortamında şüpheli istismarını tespit etti. Her iki durumda da, saldırgan, kurban kuruluşlara fidye ödemek amacıyla hedef sistemlere fidye yazılımı ikili dosyalarını yerleştirmeye çalıştı,” diye Rapid7 araştırmacıları Çarşamba günü paylaştı.
“Fidye notuna ve mevcut kanıtlara dayanarak, bu etkinliği, kaynak kodu Ekim başında bir forumda sızdırılan HelloKitty fidye yazılımı ailesine bağlıyoruz.”
CVE-2023-46604 Hakkında
Apache ActiveMQ, açık kaynaklı bir mesaj aracısıdır; mesajları bir mesajlaşma protokolünden diğerine çeviren ve çeşitli hizmetler arasında iletişime izin veren bir programdır.
ActiveMQ, OpenWire (ActiveMQ’nun yerel kablo formatı), MQTT (IoT için mesajlaşma protokolü), AMQP (iş mesajlaşması ve IoT cihaz yönetimi için protokol), REST, STOMP ve WebSockets dahil olmak üzere çeşitli protokolleri destekler.
CVE-2023-46604, ActiveMQ’nun OpenWire aktarım bağlayıcısında varsayılan olarak etkin olan, kimliği doğrulanmamış bir seri durumdan çıkarma güvenlik açığıdır.
Rapid7 araştırmacıları, “Başarılı bir şekilde yararlanma, bir saldırganın ActiveMQ sunucusuyla aynı ayrıcalıklarla rastgele kod yürütmesine olanak tanır” dedi.
CVE-2023-46604 şunları etkiler:
- Apache ActiveMQ 5.18.0, 5.18.3’ten önce
- Apache ActiveMQ 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ 5.16.0, 5.16.7’den önce
- Apache ActiveMQ 5.15.16’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.18.0, 5.18.3’ten önce
- Apache ActiveMQ Eski OpenWire Modülü 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.16.0, 5.16.7’den önce
- Apache ActiveMQ Eski OpenWire Modülü 5.8.0, 5.15.16’dan önce
ActiveMQ proje yöneticileri sabit sürümleri 25 ve 26 Ekim’de yayımladılar. 27 Ekim’de – “X1r0z” adını kullanan güvenlik araştırmacısının CVE-2023-46604 için kavram istismarının kanıtını yayınladığı gün – yama yaptıklarını açıkladılar BT.
Azaltma ve iyileştirme
Shadowserver Foundation’a göre internetten erişilebilen yaklaşık 3.200 savunmasız ActiveMQ kurulumu var. Çoğu Asya, Avrupa ve Kuzey Amerika’dadır.
Kurumsal yöneticilerin ActiveMQ kurulumlarını sabit bir sürüme yükseltmeleri ve güvenlik ihlali belirtileri aramaları önerilir. Rapid7, saldırganların davranışları ve uzlaşma göstergeleri hakkında yararlı ayrıntılar sağladı.