[By Mike Walters, President and co-founder of Action1]
2023’te, CitrixBleed ve libwebp gibi son birkaç örnek de dahil olmak üzere çok sayıda güvenlik açığının manşetlere çıktığına tanık olduk. Ancak medyada hak ettiği düzeyde tanınmamasına rağmen, hemen ilgilenilmesi gereken başka bir güvenlik açığı daha var.
CVE-2023-46604 olarak bilinen Apache ActiveMQ güvenlik açığı, CVSS v3 ölçeğinde kritik 10.0 olarak derecelendirilen bir Uzaktan Kod Yürütme (RCE) kusurudur. CVE-2023-46604, 3.000’den fazla genel erişime açık Apache ActiveMQ sunucusunda tanımlandı. Dünya çapındaki kuruluşlar için önemli bir tehdit oluşturduğundan, bu sorunu derhal ele almamız zorunludur.
Ölçeklenebilirliğiyle bilinen Apache ActiveMQ, AMQP, MQTT, OpenWire ve STOMP gibi birden fazla protokolün yanı sıra Java’yı ve çeşitli diller arası istemcileri destekleyen açık kaynaklı bir mesaj aracısıdır. Çeşitli güvenli kimlik doğrulama ve yetkilendirme mekanizmaları sayesinde, kurumsal ortamlarda doğrudan bağlantı olmadan sistem iletişimi için yaygın olarak kullanılır. Ancak yaygın kullanımı, onu CVE-2023-46604 gibi güvenlik açıklarından yararlanmaya çalışan kötü niyetli aktörler için de birincil hedef haline getiriyor.
Bu güvenlik açığı, saldırganların OpenWire protokolü içindeki serileştirilmiş sınıf türlerinden yararlanarak rastgele kabuk komutları yürütmesine olanak tanır. SparkRAT kötü amaçlı yazılımının ActiveMQ sunucularına dağıtılmasıyla zaten saldırıların hedefi haline geldi. araştırmacılar tarafından bildirilen Endişe verici bir şekilde, Apache 25 Ekim’de bir yama yayınladıktan sonra bile 4.770’den fazla Apache ActiveMQ sunucusu CVE-2023-46604 açıklarından yararlanmaya karşı savunmasız kaldı ve fidye yazılımı saldırılarıyla sonuçlandı.
Güvenlik araştırmacılar Lazarus’un bir alt grubu olan Andariel’in de aralarında bulunduğu ve arka kapıları ve NukeSped ve TigerRat gibi kötü amaçlı yazılımları dağıtmak için CVE-2023-46604’ten yararlanan çeşitli tehdit grupları belirledik.
Çoklu raporlar Kinsing botnet operatörleri ve fidye yazılımı çeteleri de dahil olmak üzere kötü niyetli aktörlerin bu güvenlik açığından aktif olarak yararlandığını vurguladık. Merhaba kedicik ve TellYouThePass.
CVE-2023-46604 için yamaların bir aydan uzun süredir mevcut olmasına rağmen, saldırganların savunmasız sunuculara kötü amaçlı yazılım yaymasıyla tehdit devam ediyor. Kuruluşların yama uygulamayı geciktirmesinin birden fazla nedeni var, ancak en önemli neden, anketimiz, kesinti korkusudur. Ancak Apache ActiveMQ’nun kurumsal ortamlarda çok önemli bir mesajlaşma aracısı olarak hizmet verdiği göz önüne alındığında, yamayı geciktirme riski, kesinti süresinin neden olduğu riskten daha fazladır. Savunmasız ActiveMQ, APT gruplarının kurumsal altyapılara sızması için bir ağ geçidi görevi gördüğünden, saldırıların 2024’te de devam etmesi muhtemel.
Apache’nin 27 Ekim’de yayınlanan uyarısına göre, güvenlik açığı Apache Active MQ ve Eski OpenWire Modülü’nün 5.18.x ila 5.18.3, 5.17.x ila 5.17.6, 5.16.x ila 5.16.7 ve 5.15’e kadar olan tüm sürümlerini etkiliyor .16. Yama uygulama süreci tek tuşla güncelleme kadar basit olmasa da kesinlikle yönetilebilir. Apache Active MQ kapsamlı bir güncelleme prosedürü ve bir yükseltme aracı sağlar. Alternatif olarak kuruluşlar, mevcut yapılandırmanın içe aktarılmasıyla yeni bir kurulum yapmayı tercih edebilir.
Sonuç olarak, kuruluşların CVE-2023-46604’ün azaltılmasına öncelik vermesi şiddetle tavsiye edilir.
Reklam