Çok sayıda rapora göre Juniper güvenlik duvarlarını, Openfire ve Apache RocketMQ sunucularını etkileyen yakın zamanda açıklanan güvenlik kusurları vahşi ortamda aktif olarak istismar ediliyor.
Shadowserver Vakfı söz konusu “Juniper J-Web CVE-2023-36844 (ve arkadaşları) için /webauth_operation.php uç noktasını hedefleyen birden fazla IP’den yararlanma girişimleri görülüyor”, aynı gün bir kavram kanıtı (PoC) kullanıma sunuldu.
CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 ve CVE-2023-36847 olarak takip edilen sorunlar Juniper SRX ve EX Serisindeki Junos OS’nin J-Web bileşeninde bulunmaktadır. Kimliği doğrulanmamış, ağ tabanlı bir saldırgan tarafından hassas kurulumlarda rastgele kod yürütmek üzere zincirlenebilirler.
Kusura yönelik yamalar 17 Ağustos 2023’te yayınlandı; bundan bir hafta sonra watchTowr Labs, kötü amaçlı kabuk kodu içeren bir PHP dosyasını yürütmek için CVE-2023-36846 ve CVE-2023-36845’i birleştirerek bir kavram kanıtını (PoC) yayınladı.
Şu anda, çoğu Güney Kore, ABD, Hong Kong, Endonezya, Türkiye ve Hindistan’dan gelen, J-Web arayüzleri internete açık olan 8.200’den fazla Juniper cihazı bulunmaktadır.
Kinsing Açık Ateş Güvenlik Açığından Yararlanıyor
Tehdit aktörleri tarafından silah haline getirilen bir diğer güvenlik açığı ise Openfire’ın yönetim konsolunda uzaktan kod yürütmek için kullanılabilecek yüksek önem derecesine sahip bir yol geçiş hatası olan CVE-2023-32315’tir.
Bulut güvenlik firması Aqua, “Bu kusur, yetkisiz bir kullanıcının, yerleşik bir Openfire yapılandırması içindeki kimliği doğrulanmamış Openfire Kurulum Ortamından yararlanmasına olanak tanıyor” dedi.
“Sonuç olarak, bir tehdit aktörü, genellikle Openfire Admin Console’da kısıtlanan yönetici kurulum dosyalarına erişim elde ediyor. Daha sonra, tehdit aktörü, konsola bir yönetici kullanıcı eklemek veya sonunda tam erişime izin verecek bir eklenti yüklemek arasında seçim yapabilir. sunucu üzerinde kontrol.”
Kinsing kötü amaçlı yazılım botnetiyle ilişkili tehdit aktörlerinin, yeni bir yönetici kullanıcı oluşturmak ve kötü amaçlı yazılımı bırakıp çalıştırmak için bir web kabuğu görevi gören cmd.jsp adlı bir dosyayı ve bir kripto para madencisini içeren bir JAR dosyasını yüklemek için kusurdan yararlandığı gözlemlendi. .
Aqua, çoğunluğu Çin, ABD ve Brezilya’da olmak üzere, Openfire hizmetinin çalıştığı 6.419 internet bağlantılı sunucu bulduğunu söyledi.
DreamBus Botnet’in Hedeflediği Apache RocketMQ Güvenlik Açığı
Tehdit aktörlerinin her zaman yararlanabilecekleri yeni kusurlar arayışında olduklarının bir işareti olarak, DreamBus botnet kötü amaçlı yazılımının güncellenmiş bir sürümünün, RocketMQ sunucularındaki kritik önemdeki uzaktan kod yürütme güvenlik açığından yararlanarak cihazları tehlikeye attığı gözlemlendi.
Sorunun kataloglandığı şekliyle CVE-2023-33246, RocketMQ sürüm 5.1.0 ve altını etkileyen, kimliği doğrulanmamış bir saldırganın sistem kullanıcı işlemiyle aynı erişim düzeyinde komutları çalıştırmasına olanak tanıyan bir uzaktan kod yürütme hatasıdır.
Juniper Threat Labs tarafından 19 Haziran 2023’ten bu yana tespit edilen saldırılarda, kusurun başarılı bir şekilde kullanılması, DreamBus botnet’inin gizli bir TOR hizmetinden indiricisi olarak görev yapan “reketed” adı verilen bir bash betiğinin konuşlandırılmasının önünü açıyor.
DreamBus, SystemdMiner’ın bir çeşidi olan ve virüslü sistemlerde kripto para birimi madenciliği yapmak üzere tasarlanmış, Linux tabanlı bir kötü amaçlı yazılımdır. 2019’un başlarından bu yana aktif olan bu saldırının, özellikle uzaktan kod yürütme güvenlik açıklarından yararlanılarak yayıldığı biliniyor.
Güvenlik araştırmacısı Paul Kimayong, “Kurulum rutininin bir parçası olarak kötü amaçlı yazılım, işlemleri sonlandırıyor ve kendisinin eski sürümleriyle ilişkili dosyaları ortadan kaldırıyor” dedi ve bunun bir cron işi aracılığıyla ana bilgisayarda kalıcılık sağladığını ekledi.
“Ancak, DreamBus kötü amaçlı yazılımı gibi bash komut dosyalarını yürütme becerisine sahip modüler bir botun varlığı, bu siber suçlulara, diğer çeşitli kötü amaçlı yazılım türlerinin kurulumu da dahil olmak üzere saldırı repertuarlarını çeşitlendirme potansiyeli sağlıyor.”
Akira Fidye Yazılımını Dağıtmak için Cisco ASA SSL VPN’lerinden Yararlanma
Gelişmeler, siber güvenlik firması Rapid7’nin, Mart 2023’e kadar uzanan ve Akira fidye yazılımını dağıtmak için Cisco ASA SSL VPN cihazlarını hedef alan tehdit faaliyetlerinde artış olduğuna dair uyarısı sırasında geldi.
Bazı örneklerde kimlik bilgisi doldurmanın kullanılması gerekirken, diğerlerindeki etkinlik “çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmediği veya tüm kullanıcılar için uygulanmadığı ASA cihazlarına yönelik hedefli kaba kuvvet saldırılarının sonucu gibi görünüyor.” şirket dedi.
Cisco saldırıları kabul etti ve tehdit aktörlerinin kuruluşlara sızmak için karanlık ağdan çalıntı kimlik bilgileri satın alıyor olabileceğini belirtti.
Bu hipotez, Bassterlord olarak adlandırılan bir ilk erişim komisyoncusunun, bu Şubat ayı başlarında yer altı forumlarında kurumsal ağlara sızma konusunda bir rehber satarken gözlemlenmesiyle daha da destekleniyor.
Rapid7, “Yazar özellikle kullanıcı adı/şifre kombinasyonu testi:test ile 4.865 Cisco SSL VPN hizmetinin ve 9.870 Fortinet VPN hizmetinin güvenliğini ihlal ettiklerini iddia etti.” dedi.
“Karanlık ağ tartışmasının zamanlaması ve gözlemlediğimiz artan tehdit faaliyeti göz önüne alındığında, kılavuzdaki talimatların Cisco ASA VPN’lerini hedef alan kaba kuvvet saldırılarındaki artışa katkıda bulunması mümkündür.”
Açıklamalar aynı zamanda yama yapılmamış Citrix NetScaler ADC ve Gateway cihazlarının, web kabuklarını ve diğer yükleri düşürmek için ürünlerdeki kritik bir kusurdan yararlanan fidye yazılımı aktörlerinin fırsatçı saldırılarına karşı yüksek risk altında olduğu bir dönemde geldi.