Apache RocketMQ platformu, yüksek hacimli verileri ve kritik işlemleri yöneten ve genellikle bilgisayar korsanlarının ilgisini çeken, yaygın olarak kullanılan bir mesajlaşma sistemidir.
RocketMQ’daki güvenlik açıklarından yararlanmak, saldırganların iletişimi kesmesine, hassas bilgilere erişmesine ve potansiyel olarak veri akışı üzerinde kontrol sahibi olmasına olanak tanır.
Aqua Nautilus’taki siber güvenlik araştırmacıları yakın zamanda Muhstik kötü amaçlı yazılımının uzaktan kod yürütmek için Apache RocketMQ platformuna aktif olarak saldırdığını keşfetti.
Muhstik Kötü Amaçlı Yazılım Apache RocketMQ’ya Saldırıyor
RocketMQ’nun 5.1.0 ve önceki sürümlerinde uzaktan kod yürütme güvenlik açığı (CVE-2023-33246) vardı ve bu güvenlik açığı, saldırganların güvenli olmayan güncelleme yapılandırma işlevinden yararlanarak komutları yürütmesine olanak tanıyordu.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Uzmanlar, Kaiten ailesinin bir parçası olan ve kripto madencilik ve DDoS saldırıları için Linux cihazlarını hedef alan Muhstik kötü amaçlı yazılımını indirmek için bundan yararlanan saldırılar tespit etti.
Saldırı akışı, ilk olarak RocketMQ kusurunu kullanarak Muhstik’i getiren kötü amaçlı bir veriyi yüklemek ve yürütmek için kullanılıyor; bu, kötü amaçlı yazılımın kaynak kodu sızıntısını takip eden önceki Mirai tabanlı saldırılara benzerlik gösteriyor.
Araştırmacılar, savunmasız RocketMQ sürümüne sahip bir bal küpünü ortaya çıkardı. Saldırganlar, aracı yapılandırmasını güncellemek için kusuru tespit edip kullandı ve uzaktan kod yürütülmesine olanak sağladı.
Sistem mimarisiyle eşleşen Muhstik kötü amaçlı yazılım ikili dosyalarını getiren kötü amaçlı bir kabuk komut dosyası gönderdiler.
.webp)
Muhstik daha sonra kendisini /dev/shm gibi dizinlere kopyaladı ve kalıcılık için inittab’ı düzenleyerek açılışta sürecini yeniden başlattı.
Meşru bir işlem gibi görünen bir pty3 dosya adı kullanırken tespitten kaçınmak için geçici konumlardan doğrudan belleğe yükleme yapan dosyasız teknikler kullandı.
Muhstik kötü amaçlı yazılımı, uname aracılığıyla sistem ayrıntılarını topladı, strace ve tcpdump gibi ağ izleme araçlarını kontrol etti, SSH hizmetlerini taradı ve IRC üzerinden bir C2 sunucusuyla iletişim kurdu.
P.de-zahlung’a bağlı[.]Tanımlanmış bir kötü amaçlı alan adı olan eu, #ex86 kanalına 8974 şifresiyle katılıyor.
Cnrig ve kining gibi kötü amaçlı işlemlerin killall tarafından temizlenmesi talimatını veren şifreli bir komut gönderildi.
Kötü amaçlı yazılım, C2 sunucusundan daha fazla komut almak üzere aktif IRC bağlantısını doğrulamak için PING ve PONG alışverişleri tarafından varlığını sürdürdü.
Muhstik, güvenliği ihlal edilmiş sistemlerden para kazanmak için kötü amaçlı işlemleri ortadan kaldırır ve DDoS’nin yanı sıra virüs bulaşmış bilgisayarlara kripto madenleri yağdırır.
Araştırmacılar tarafından yürütülen Shodan taramalarına göre, CVE-2023-33246’ya yönelik güvenlik açığı, 5200 RocketMQ örneğini küresel olarak savunmasız hale getirdi.
Bu, yama yapılmamış sistemlerin risklerini vurgulamaktadır.
Bu, bazı yeni güvenlik açıkları ve yanlış yapılandırmaların sistemlerini Muhstik gibi saldırganlara maruz bırakabileceğinden, bulut tabanlı uygulamalara sahip şirketler için güvenliğin en önemli öncelik olmaya devam edeceği anlamına geliyor.
RocketMQ, geliştiricilerin daha dayanıklı uygulamalar oluşturmasına yardımcı olmak için geliştirme sırasında kullanılabilecek mesajlaşma altyapısına iyi bir örnektir.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Ortamınızın güvenliğini sağlayın
- Ortamınızı tarayın
- Çalışanlarınızı eğitin
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo