Yakın zamanda açıklanan Apache ActiveMQ uzaktan kod yürütme (RCE) kusuru CVE-2023-46604, fidye yazılımı ikili dosyalarını hedef sistemlere yaymak ve kurban kuruluşlardan fidye talep etmek için kullanılıyor.
Kanıtlara ve fidye notuna dayanarak Rapid7 uzmanları, etkinliği, kaynak kodu Ekim ayı başlarında bir forumda kamuya açıklanan HelloKitty fidye yazılımı ailesiyle ilişkilendirdi.
CVE-2023-46604, CVSS v3 puanı 10,0 olan, saldırganların rastgele kabuk komutları yürütmesine olanak tanıyan OpenWire protokolündeki serileştirilmiş sınıf türlerinden yararlanan, kritik önem derecesine sahip bir RCE’dir.
ShadowServer, “Güvenlik açığı, aracıya ağ erişimi olan uzak bir saldırganın, aracının sınıf yolundaki herhangi bir sınıfı başlatmasına neden olacak şekilde OpenWire protokolündeki serileştirilmiş sınıf türlerini değiştirerek keyfi kabuk komutları çalıştırmasına izin verebilir” diyor.
Güvenliği ihlal edilmiş ortamların göstergeleri, eski Apache ActiveMQ sürümlerini kullanan etkilenen müşteri ortamlarının her ikisinde de mevcuttu.
Etkilenen Sürümler
- Apache ActiveMQ 5.18.0, 5.18.3’ten önce
- Apache ActiveMQ 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ 5.16.0, 5.16.7’den önce
- Apache ActiveMQ 5.15.16’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.18.0, 5.18.3’ten önce
- Apache ActiveMQ Eski OpenWire Modülü 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.16.0, 5.16.7’den önce
- Apache ActiveMQ Eski OpenWire Modülü 5.8.0, 5.15.16’dan önce
25 Ekim 2023’te Apache sorunu duyurdu ve ActiveMQ’yu güncelledi. Güvenlik açıklarına ve kavram kanıtı yararlanma koduna ilişkin ayrıntılar kamuya açıklanır.
HelloKitty Fidye Yazılımı Apache ActiveMQ Kusurunu İstismar Ediyor
2020’de fidye yazılımı programı HelloKitty ortaya çıktı ve o zamandan beri diğer yüksek profilli saldırılarda kullanıldı.
Bu durumda saldırgan, başarılı bir şekilde yararlandıktan sonra M2.png ve M4.png adlarına sahip uzak ikili dosyaları yüklemek için Windows Installer’ı (msiexec) kullanmaya çalışır.
Her iki MSI dosyasında bulunan dllloader adlı 32 bit.NET yürütülebilir dosyası, EncDLL adı verilen Base64 kodlu bir veri yükü yükler. EncDLL, fidye yazılımına benzer şekilde davranır, şifreleme işlemine başlamadan önce belirli bir dizi işlemi arar ve sonlandırır ve şifrelenmiş dosyaları “.locked” uzantısıyla ekler.
Düzeltme Yayınlandı
Sorunlar 5.15.16, 5.16.7, 5.17.6 veya 5.18.3 sürümlerinde giderilmiştir.
Azaltma
Kuruluşlar mümkün olan en kısa sürede ActiveMQ’nun adreslenmiş bir sürümüne yükseltmeli ve sistemlerini güvenlik açığı belirtileri açısından incelemelidir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.