Tehdit aktörleri, kritik bir uzaktan kod yürütmeyi (RCE) hedef alan yeni bir siber saldırı dalgasını başlattı Apache ActiveMQ’daki güvenlik açığıApache Yazılım Vakfı’nın (ASF) Ekim ayında bir yama yayınladığı.
Saldırıların çoğunda, düşman, tehlikeye atılmış sistemleri ezip tam kontrol elde etmelerini sağlayan bilinen bir Web kabuğu olan Godzilla’yı temel alan bir veri yükü bırakıyor.
ActiveMQ güvenlik açığı şu şekilde izleniyor: CVE-2023-46604, CVSS 3.0 ölçeğinde 10 üzerinden 10 maksimum önem puanı taşır ve yaygın olarak kullanılan açık kaynak mesaj aracısı teknolojisinin birden çok sürümünü etkiler (5.18.3’ten önceki Apache ActiveMQ sürümleri; 5.17.6. ve önceki ActiveMQ Legacy OpenWire Modülü dahil). 5.18.3 ve 5.17.6’dan önce).
3.400+ Savunmasız ActiveMQ Sunucusu Siber Saldırıya Açık
Trustwave SpiderLabs’tan araştırmacılar etkinliği yakın zamanda fark ettim ve tehdit aktörlerinin, verileri gizlemek için bilinmeyen bir ikili dosya kullandıklarını açıkladı. Godzilla Web kabuğu imza tabanlı tarayıcılardan ve diğer güvenlik kontrollerinden kaçmaya çalışmak.
Tehdit aktörü, savunmasız bir ActiveMQ sunucusuna konuşlandırıldıktan sonra Godzilla’yı bağlantı noktası taramaları gerçekleştirmek, ağı numaralandırmak, Mimikatz’ı yürütmek, Meterpreter ve kabuk komutlarını kullanmak, süreçlere kabuk kodu enjekte etmek ve diğer kötü amaçlı etkinlikleri gerçekleştirmek için kullanabilir.
Trustwave’e göre son haftalarda kusuru hedef alan saldırılarda “dikkate değer bir artış” yaşandı. Trustwave araştırmacılarının analiz ettiği saldırılardan birinde tehdit aktörü, ActiveMQ kurulum dosyasının “admin” klasörüne kötü amaçlı bir JavaServer Page (JSP) dosyası yerleştirdi. Güvenlik sağlayıcısının dosyaya ilişkin analizi, dosyanın Godzilla kodunu temel alan bir Web kabuğu olduğunu gösterdi.
Trustwave’in analizine göre, “Bu kötü amaçlı dosyaları özellikle dikkate değer kılan şey, JSP kodunun bilinmeyen bir ikili dosya türü içinde nasıl gizlenmiş gibi görünmesidir.” “Bu yöntem, tarama sırasında güvenlik uç noktaları tarafından tespit edilmekten kaçınarak güvenlik önlemlerini aşma potansiyeline sahiptir.”
Güvenlik sağlayıcısı, yeni saldırı etkinliği için güvenlik ihlali göstergelerini (IoC’ler) ve güvenliği ihlal edilmiş sistemlerde Godzilla Web kabuğunu tespit etmek için bir Yara kuralını yayınladı.
İnternet izleme kuruluşu ShadowServer’ın verilerine göre şu anda internetten erişilebilen güvenlik açığına sahip 3.400’den fazla ActiveMQ sunucusu bulunuyor. Bu neredeyse ShadowServer’ın bildirdiği sistem sayısıyla aynı. Kasım ayında savunmasız olmak aynı zamanda ciddi bir yama gecikmesi olduğunu gösteriyor. Savunmasız sunucuların yaklaşık 1.600’ü Asya’da, 750’si ise ABD’de bulunuyor.
Güvenli Olmayan Seriden Çıkarma Güvenlik Hatası
ASF, hatanın şunlardan kaynaklandığını belirledi: güvenli olmayan seri durumdan çıkarmaBu, temel olarak, önce verilerin değiştirilip değiştirilmediğini veya güvenilir olup olmadığını doğrulamadan, API istekleri, dosya yüklemeleri ve kullanıcı girişleri gibi verileri seri durumdan çıkaran bir uygulamayı ifade eder. Hata, Java tabanlı bir OpenWire aracısına veya istemcisine erişimi olan bir saldırganın, etkilenen sunucuya değiştirilmiş nesneler göndererek rastgele kabuk komutları yürütmesine olanak tanıyor.
Yararlanma kodu ve hatanın tüm teknik ayrıntıları Kasım ayı başlarından bu yana kamuya açık durumda ve tehdit aktörleri, kripto madencilik araçlarını, rootkit’leri ve uzaktan erişim Truva atlarını yüklemek için bu kusurdan zaten yararlandı. Kasım ayında Rapid7’deki araştırmacılar, CVE-2023-46604’ü istismar eden bir tehdit aktörünün HelloKity fidye yazılımını bırakın Savunmasız sistemlerde. O zamanki güvenlik sağlayıcısı, tehdit aktörünün güvenliği ihlal edilmiş bir sistemdeki verileri şifrelemek için yaptığı girişim sayısına dayanarak saldırıları biraz amatörce olarak nitelendirdi.
Rapid7 güvenlik açığı araştırma ve istihbarat direktörü Caitlin Condon, “Etkinlik birkaç günle sınırlıydı” diyor ve şirketin yakın zamanda ActiveMQ kusurunu hedef alan herhangi bir etkinlik gözlemlemediğini ekliyor. “O olayda gördüğümüz faaliyetlere dayanarak, sızdırılan kodu ele geçirenin ve hızlı bir şekilde para kazanmaya çalışanın yalnız kurt bir saldırgan olması tamamen mümkündür. Özellikle, kötü amaçlı yazılımları ve yapıları analiz ediyorduk, koda herhangi bir atıf yapmıyorduk. insan düşmanı.”
Trustwave, CVE-2023-46604’e yönelik kötü niyetli faaliyetlerdeki ani yükselişin nedeninin ne olabileceği ve saldırıların doğası gereği hedefe yönelik mi yoksa fırsatçı mı göründüğü hakkında bilgi isteyen Dark Reading talebine hemen yanıt vermedi.