3.000’den fazla İnternet erişimli Apache ActiveMQ Sunucusu, bir saldırganın fidye yazılımını düşürmeyi aktif olarak hedeflemeye başladığı kritik bir uzaktan kod yürütme güvenlik açığına maruz kalıyor.
Apache Software Foundation (ASF), 27 Ekim’de CVE-2023-46604 olarak izlenen güvenlik açığını açıkladı. Hata, ActiveMQ mesaj aracısına erişimi olan uzaktaki bir saldırganın, etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor. Kavram kanıtı yararlanma kodu ve güvenlik açığının tüm ayrıntıları kamuya açıktır; bu, tehdit aktörlerinin güvenlik açığına karşı saldırı başlatmak için hem araçlara hem de bilgiye sahip olduğu anlamına gelir.
Etkinlikten Yararlanma
Rapid7’deki araştırmacılar, ASF’nin tehdidi açıkladığı günden başlayarak, iki müşteri noktasındaki kusuru hedef alan istismar faaliyetlerini gözlemlediklerini bildirdi. Rapid7’nin yönetilen tespit ve müdahale ekibinden araştırmacılar bir blog yazısında şunları söyledi: “Her iki durumda da, saldırgan, kurban kuruluşlara fidye ödemek amacıyla hedef sistemlere fidye yazılımı ikili dosyalarını yerleştirmeye çalıştı.” Hedeflenen her iki kuruluşun da Apache ActiveMQ’nun eski sürümlerini çalıştırdığını açıkladılar.
Araştırmacılar, fidye notuna ve diğer saldırı özelliklerine dayanarak kötü niyetli etkinliği HelloKitty fidye yazılımı ailesine bağladılar. HelloKitty fidye yazılımı en az 2020’den bu yana ortalıkta dolaşıyor. Operatörleri, yalnızca verileri şifrelemekle kalmayıp aynı zamanda kurbanlardan fidye almak için ek bir avantaj olarak verileri çaldıkları çift gasp saldırılarını tercih etme eğiliminde.
ActiveMQ kusurundan yararlanan HelloKitty fidye yazılımı saldırıları biraz ilkel görünüyordu. Saldırılardan birinde, tehdit aktörü verileri şifrelemek için yarım düzineden fazla girişimde bulundu ve araştırmacıların raporlarında tehdit aktörünü “beceriksiz” olarak etiketlemesine yol açtı.
Rapid7 tehdit araştırması başkanı Caitlin Condon, “Bu güvenlik açığına yönelik yararlanma kodu geçen haftadan bu yana kamuya açık durumda ve araştırmacılarımız bu güvenlik açığından yararlanılabilirliği doğruladı” diyor. “Rapid7’nin gözlemlediği tehdit faaliyeti, otomatik istismara benziyordu ve özellikle karmaşık değildi; bu nedenle, kuruluşların gelecekteki olası istismarlara karşı korunmak için hızlı bir şekilde yama yapmalarını tavsiye ediyoruz.”
Saldırılara Karşı Savunmasız 3.000’den Fazla Sistem
ShadowServer kuruluşunun 30 Ekim’de yayınladığı verilere göre, yaklaşık 3.329 adet İnternet bağlantılı ActiveMQ sistemi, CVE-2023-46604 yoluyla yapılan saldırılara karşı savunmasız durumda.
ActiveMQ, farklı uygulamalar, hizmetler ve sistemler arasında mesajlaşmayı kolaylaştıran, nispeten popüler bir açık kaynaklı mesaj aracısıdır. ASF, teknolojiyi “en popüler açık kaynaklı, çok protokollü, Java tabanlı mesaj aracısı” olarak tanımlıyor. Veri analitiği firması Enlyft, yaklaşık 13.120 şirketin tahminini yaptı — çoğunlukla küçük ve orta ölçekli — ActiveMQ kullanın.
CVE-2023-46604, Apache ActiveMQ ve Apache ActiveMQ Eski OpenWire Modülünün birden çok sürümünü etkiler. Savunmasız sürümler arasında 5.18.3’ten önceki Apache ActiveMQ sürümleri yer almaktadır; 5.17.6 ActiveMQ Eski OpenWire Modülü 5.18.3’ten önce ve 5.17.6’dan önce ASF, güvenlik açığına CVSS ölçeğinde mümkün olan maksimum 10,0 önem derecesini atadı ve etkilenen yazılımın güncellenmiş sürümlerini yayımladı. ASF, teknolojiyi kullanan kuruluşların riski azaltmak için sabit sürüme yükseltmelerini önerdi.
CVE-223-466604, güvenli olmayan bir seri durumdan çıkarma hatasıdır; bir uygulama, önce verilerin geçerli olup olmadığını doğrulamadan güvenilmeyen veya manipüle edilen verilerin serisini kaldırdığında ortaya çıkan bir tür güvenlik açığıdır. Saldırganlar genellikle bu tür kusurlardan, seri durumdan çıkarıldığında kötü amaçlı veya yetkisiz kod çalıştıran, ihlallere ve rastgele kod yürütülmesine yol açan kötü amaçlı hazırlanmış bir nesne göndererek yararlanır. Güvenli olmayan seri durumdan çıkarma hataları yaygındır ve yıllardır OWASP’ın en iyi 10 Web uygulaması güvenlik açığı türü listesinde düzenli bir özellik olmuştur.