Çok sayıda rapora göre Juniper güvenlik duvarlarını, Openfire ve Apache RocketMQ sunucularını etkileyen yakın zamanda açıklanan güvenlik kusurları vahşi ortamda aktif olarak istismar ediliyor.
Shadowserver Vakfı söz konusu “Juniper J-Web CVE-2023-36844 (ve arkadaşları) için /webauth_operation.php uç noktasını hedefleyen birden fazla IP’den yararlanma girişimleri görülüyor”, aynı gün bir kavram kanıtı (PoC) kullanıma sunuldu.
CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 ve CVE-2023-36847 olarak takip edilen sorunlar Juniper SRX ve EX Serisindeki Junos OS’nin J-Web bileşeninde bulunmaktadır. Kimliği doğrulanmamış, ağ tabanlı bir saldırgan tarafından hassas kurulumlarda rastgele kod yürütmek üzere zincirlenebilirler.
Kusura yönelik yamalar 17 Ağustos 2023’te yayınlandı; bundan bir hafta sonra watchTowr Labs, kötü amaçlı kabuk kodu içeren bir PHP dosyasını yürütmek için CVE-2023-36846 ve CVE-2023-36845’i birleştirerek bir kavram kanıtını (PoC) yayınladı.
Şu anda, var 8.200’den fazla Juniper cihazı J-Web arayüzleri internete açık olanların çoğu Güney Kore, ABD, Hong Kong, Endonezya, Türkiye ve Hindistan’dan.
Kinsing Açık Ateş Güvenlik Açığından Yararlanıyor
Tehdit aktörleri tarafından silah haline getirilen bir diğer güvenlik açığı ise Openfire’ın yönetim konsolunda uzaktan kod yürütmek için kullanılabilecek yüksek önem derecesine sahip bir yol geçiş hatası olan CVE-2023-32315’tir.
Bulut güvenlik firması Aqua, “Bu kusur, yetkisiz bir kullanıcının, yerleşik bir Openfire yapılandırması içindeki kimliği doğrulanmamış Openfire Kurulum Ortamından yararlanmasına olanak tanıyor” dedi. söz konusu.
“Sonuç olarak, bir tehdit aktörü, genellikle Openfire Admin Console’da kısıtlanan yönetici kurulum dosyalarına erişim elde ediyor. Daha sonra, tehdit aktörü, konsola bir yönetici kullanıcı eklemek veya sonunda tam erişime izin verecek bir eklenti yüklemek arasında seçim yapabilir. sunucu üzerinde kontrol.”
İlgili tehdit aktörleri Kötü amaçlı yazılım botneti kinsing Bu kusurun, yeni bir yönetici kullanıcı oluşturmak ve kötü amaçlı yazılımı ve kripto para madencisini bırakmak ve yürütmek için bir web kabuğu görevi gören cmd.jsp adlı bir dosyayı içeren bir JAR dosyası yüklemek için kullanıldığı gözlemlendi.
Aqua, çoğunluğu Çin, ABD ve Brezilya’da olmak üzere, Openfire hizmetinin çalıştığı 6.419 internet bağlantılı sunucu bulduğunu söyledi.
DreamBus Botnet’in Hedeflediği Apache RocketMQ Güvenlik Açığı
Tehdit aktörlerinin her zaman yararlanabilecekleri yeni kusurlar arayışında olduklarının bir işareti olarak, DreamBus botnet kötü amaçlı yazılımının güncellenmiş bir sürümünün, RocketMQ sunucularındaki kritik önemdeki uzaktan kod yürütme güvenlik açığından yararlanarak cihazları tehlikeye attığı gözlemlendi.
CVE-2023-33246Sorun, kataloglandığı şekliyle, RocketMQ 5.1.0 ve altındaki sürümlerini etkileyen ve kimliği doğrulanmamış bir saldırganın, sistem kullanıcısı işlemiyle aynı erişim düzeyiyle komutları çalıştırmasına olanak tanıyan bir uzaktan kod yürütme kusurudur.
Juniper Threat Labs tarafından 19 Haziran 2023’ten bu yana tespit edilen saldırılarda, kusurun başarılı bir şekilde kullanılması, DreamBus botnet’inin gizli bir TOR hizmetinden indiricisi olarak görev yapan “reketed” adı verilen bir bash betiğinin konuşlandırılmasının önünü açıyor.
DreamBus bir Linux tabanlı kötü amaçlı yazılım Bu, SystemdMiner’ın bir çeşididir ve virüs bulaşmış sistemlerde kripto para madenciliği yapmak üzere tasarlanmıştır. 2019’un başlarından bu yana aktif olan bu saldırının, özellikle uzaktan kod yürütme güvenlik açıklarından yararlanılarak yayıldığı biliniyor.
Güvenlik araştırmacısı Paul Kimayong, “Kurulum rutininin bir parçası olarak kötü amaçlı yazılım, işlemleri sonlandırıyor ve kendisinin eski sürümleriyle ilişkili dosyaları ortadan kaldırıyor.” söz konusubunu eklemek, bir cron işi aracılığıyla ana bilgisayarda kalıcılık sağlar.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
“Ancak, DreamBus kötü amaçlı yazılımı gibi bash komut dosyalarını yürütme becerisine sahip modüler bir botun varlığı, bu siber suçlulara, diğer çeşitli kötü amaçlı yazılım türlerinin kurulumu da dahil olmak üzere saldırı repertuarlarını çeşitlendirme potansiyeli sağlıyor.”
Akira Fidye Yazılımını Dağıtmak için Cisco ASA SSL VPN’lerinden Yararlanma
Gelişmeler siber güvenlik firması Rapid7’nin ortasında geldi uyarı Mart 2023’e kadar uzanan ve Akira ve LockBit fidye yazılımını dağıtmak için Cisco ASA SSL VPN cihazlarını hedef alan tehdit faaliyetlerinde artış olduğu bildirildi.
Bazı örneklerde kimlik bilgisi doldurmanın kullanılması gerekirken, diğerlerindeki etkinlik “çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmediği veya tüm kullanıcılar için uygulanmadığı ASA cihazlarına yönelik hedefli kaba kuvvet saldırılarının sonucu gibi görünüyor.” şirket dedi.
Cisco bunu kabul etti saldırılarTehdit aktörlerinin kuruluşlara sızmak için karanlık ağdan çalıntı kimlik bilgileri satın alıyor olabileceklerini belirtiyor.
Bu hipotez, Bassterlord olarak adlandırılan bir ilk erişim komisyoncusunun, bu Şubat ayının başlarında yer altı forumlarında kurumsal ağlara sızma konusunda bir rehber satarken gözlemlenmesiyle daha da destekleniyor.
Rapid7, “Özellikle yazar, kullanıcı adı/şifre kombinasyonu testi:test ile 4.865 Cisco SSL VPN hizmetinin ve 9.870 Fortinet VPN hizmetinin güvenliğini ihlal ettiklerini iddia etti.” dedi.
“Karanlık ağ tartışmasının zamanlaması ve gözlemlediğimiz artan tehdit faaliyeti göz önüne alındığında, kılavuzdaki talimatların Cisco ASA VPN’lerini hedef alan kaba kuvvet saldırılarındaki artışa katkıda bulunması mümkündür.”
Açıklamalar aynı zamanda yama yapılmamış Citrix NetScaler ADC ve Gateway cihazlarının, web kabuklarını ve diğer yükleri düşürmek için ürünlerdeki kritik bir kusurdan yararlanan fidye yazılımı aktörlerinin fırsatçı saldırılarına karşı yüksek risk altında olduğu bir dönemde geldi.