Siber güvenlik araştırmacıları, Apache ActiveMQ açık kaynaklı mesaj komisyoncusu hizmetinde yakın zamanda açıklanan ve uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik kusurunun istismar edildiğinden şüphelenildiği konusunda uyarıda bulunuyor.
Siber güvenlik firması Rapid7 Çarşamba günü yayınlanan bir raporda, “Her iki durumda da, saldırgan, kurban kuruluşlara fidye vermek amacıyla hedef sistemlere fidye yazılımı ikili dosyalarını yerleştirmeye çalıştı.”
“Fidye notuna ve mevcut kanıtlara dayanarak, bu etkinliği, kaynak kodu Ekim başında bir forumda sızdırılan HelloKitty fidye yazılımı ailesine bağlıyoruz.”
İzinsiz girişlerin, Apache ActiveMQ’da bir tehdit aktörünün rastgele kabuk komutları çalıştırmasına izin veren bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-46604’ün istismarını içerdiği söyleniyor.
Güvenlik açığının maksimum ciddiyeti gösteren 10,0 CVSS puanına sahip olduğunu belirtmekte fayda var. Bu sorun, geçen ayın sonlarında yayımlanan ActiveMQ 5.15.16, 5.16.7, 5.17.6 veya 5.18.3 sürümlerinde ele alınmıştır.
Güvenlik açığı aşağıdaki sürümleri etkiliyor:
- Apache ActiveMQ 5.18.0, 5.18.3’ten önce
- Apache ActiveMQ 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ 5.16.0, 5.16.7’den önce
- Apache ActiveMQ 5.15.16’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.18.0, 5.18.3’ten önce
- Apache ActiveMQ Eski OpenWire Modülü 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.16.0, 5.16.7’den önce
- Apache ActiveMQ Eski OpenWire Modülü 5.8.0, 5.15.16’dan önce
Hataların açığa çıkmasından bu yana, bir kavram kanıtı (PoC) yararlanma kodu ve ek teknik özellikler kamuya açık hale getirildi; Rapid7, iki kurban ağında gözlemlediği davranışın “sömürüden beklediğimize benzer” olduğunu belirtti. CVE-2023-46604.”
Başarılı bir şekilde yararlanmanın ardından, saldırgan, Windows Installer’ı (msiexec) kullanarak M2.png ve M4.png adlı uzak ikili dosyaları yüklemeye çalışır.
Her iki MSI dosyası da dllloader adlı 32 bitlik bir .NET yürütülebilir dosyası içerir; bu dosya, fidye yazılımına benzer şekilde çalışan, şifreleme işlemini başlatmadan ve şifrelenmiş verileri eklemeden önce belirli bir dizi işlemi arayıp sonlandıran EncDLL adlı Base64 kodlu bir veri yükünü yükler. “.locked” uzantılı dosyalar.
 |
| Görüntü Kaynağı: Shadowserver Vakfı |
Shadowserver Vakfı, 1 Kasım 2023 itibarıyla CVE-2023-46604’e duyarlı 3.326 internet erişimli ActiveMQ örneği bulduğunu söyledi. Savunmasız sunucuların çoğunluğu Çin, ABD, Almanya, Güney Kore ve Hindistan’da bulunuyor.
Kusurun aktif olarak kullanıldığı göz önüne alındığında, kullanıcıların mümkün olan en kısa sürede ActiveMQ’nun sabit sürümüne güncellemeleri ve güvenlik ihlali göstergeleri için ağlarını taramaları önerilir.