İnternete açık Apache ActiveMQ sunucuları, daha önce sıfır gün olarak kullanılan kritik bir uzaktan kod yürütme (RCE) güvenlik açığını hedefleyen TellYouThePass fidye yazılımı saldırılarında da hedefleniyor.
CVE-2023-46604 olarak izlenen kusur, ActiveMQ ölçeklenebilir açık kaynaklı mesaj aracısında, kimliği doğrulanmamış saldırganların savunmasız sunucularda rastgele kabuk komutları yürütmesine olanak tanıyan maksimum önem derecesine sahip bir hatadır.
Apache, 27 Ekim’de güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınlarken, siber güvenlik şirketleri ArcticWolf ve Huntress Labs, tehdit aktörlerinin bunu en az 10 Ekim’den bu yana iki haftadan fazla bir süredir SparkRAT kötü amaçlı yazılımını dağıtmak için sıfır gün olarak kullandığını tespit etti.
Tehdit izleme hizmeti ShadowServer’dan alınan verilere göre, şu anda çevrimiçi olarak açığa çıkan 9.200’den fazla Apache ActiveMQ sunucusu var ve bunların 4.770’inden fazlası CVE-2023-46604 açıklarından yararlanmaya karşı savunmasız durumda.
Apache ActiveMQ kurumsal ortamlarda mesaj aracısı olarak kullanıldığından, güvenlik güncellemelerinin uygulanmasının zamana duyarlı olduğu düşünülmelidir.
Yöneticilerin, ActiveMQ’nun 5.15.16, 5.16.7, 5.17.6 ve 5.18.3 sürümlerine yükselterek tüm güvenlik açığı bulunan sistemlere derhal yama yapmaları önerilir.
Fidye yazılımı çetelerinin hedefi
Apache’nin bu kritik ActiveMQ güvenlik açığını düzeltmesinden bir hafta sonra Huntress Labs ve Rapid7, saldırganların müşterilerin ağlarına HelloKitty fidye yazılımı yüklerini dağıtmak için bu hatayı kullandıklarını tespit ettiklerini bildirdi.
Her iki siber güvenlik şirketinin güvenlik araştırmacıları tarafından gözlemlenen saldırılar, Apache’nin güvenlik yamalarını yayınlamasından sadece birkaç gün sonra, 27 Ekim’de başladı.
Arctic Wolf Labs, bir gün sonra yayınlanan bir raporda, CVE-2023-46604 kusurunu aktif olarak kullanan tehdit aktörlerinin bunu Linux sistemlerini hedef alan ve TellYouThePass fidye yazılımını zorlayan saldırılarda ilk erişim için de kullandığını ortaya çıkardı.
Güvenlik araştırmacıları ayrıca HelloKitty ve TellYouThePass saldırıları arasında benzerlikler buldular; her iki kampanya da “e-posta adresi, altyapı ve bitcoin cüzdan adreslerini” paylaşıyordu.
Arctic Wolf araştırmacıları, “CVE-2023-46604’ün farklı amaçlara sahip çeşitli tehdit aktörleri tarafından vahşi doğada istismar edildiğine dair kanıtlar, bu güvenlik açığının hızlı bir şekilde iyileştirilmesi ihtiyacını ortaya koyuyor” diye uyardı.
TellYouThePass fidye yazılımı çok büyük ve ani yükseliş Log4Shell kavram kanıtlama açıklarının iki yıl önce çevrimiçi olarak yayınlanmasının ardından faaliyete geçti.
Aralık 2021’de Golang tarafından derlenmiş bir kötü amaçlı yazılım olarak geri dönen fidye yazılımı türü, platformlar arası hedefleme yetenekleri de ekleyerek Linux ve macOS sistemlerine saldırmayı mümkün kıldı (macOS örnekleri henüz ortalıkta görülmedi).