Apache ActiveMQ’daki kritik bir güvenlik açığına yönelik yeni bir kavram kanıtlama (PoC) istismarı, açık kaynak mesaj aracısını çalıştıran sunucularda uzaktan kod yürütmeyi (RCE) gerçekleştirmeyi her zamankinden daha kolay hale getiriyor ve bunu yaparken bildirim yapılmasını önlüyor.
Maksimum önem derecesine sahip hata (CVE-2023-46604, CVSS puanı 10), kimliği doğrulanmamış tehdit aktörlerinin rastgele kabuk komutları çalıştırmasına izin veriyor ve bu hata, geçen ayın sonlarında Apache tarafından yamalandı. Bununla birlikte, HelloKitty fidye yazılımı çetesi ve diğerlerinin tam anlamıyla yararlandığı bir durum olan binlerce kuruluş savunmasız durumda.
Saldırılar şu ana kadar kusurun açığa çıkmasından kısa bir süre sonra yayınlanan halka açık bir PoC’ye dayansa da, VulnCheck’teki araştırmacılar bu hafta daha zarif bir istismar tasarladıklarını söyledi; bu istismar, saldırıları hafızadan başlatarak davetsiz misafirlerin gürültüsünü azaltıyor.
“Bu, tehdit aktörlerinin araçlarını diske bırakmaktan kaçınabilecekleri anlamına geliyor.” VulnCheck’in yeni ActiveMQ istismarını detaylandıran gönderisi. “Şifreleyicilerini Nashorn’da yazmış olabilirler (ya da belleğe bir sınıf/JAR yükleyebilirler) ve bellekte yerleşik kalabilirler, belki de yönetilenler tarafından tespit edilmekten kaçınabilirlerdi. [endpoint detection and response] EDR ekipleri.”
Yeni ActiveMQ İstismarı: Sessiz Bir Takipçiyi Etkinleştirmek
Saldırganların izlerini tamamen gizlemek için activemq.log’daki suçlayıcı günlük mesajlarını silmeleri gerekse de, VulnCheck PoC, güvenlik açığına yönelik saldırıları daha gizli hale getirme konusunda hala önemli bir gelişme, Matt Kiely’e göre baş güvenlik araştırmacısı Avcı.
“VulnCheck’in kavram kanıtı, kodu yürütmek için genellikle istismar edilen sistemin kabuğunu kullanmaya dayanan önceki halka açık PoC’lerden belirgin bir evrimdir” diyor ve Huntress ekibinin yeni tekniğin gerçekten de reklamı yapıldığı gibi çalıştığını doğruladığını ekliyor. .
Ayrıca, “Eğer bir saldırgan ActiveMQ’nun savunmasız örneğine erişebiliyorsa, bu spesifik saldırının istismar edilmesi önemsizdir” diyor ve istismar geliştirmede daha fazla gelişme ve iyileştirmenin kesinlikle geleceğini ekliyor.
Bu nedenle yöneticilerin derhal CVE-2023-46604 yamasını uygulaması veya sunucuları İnternet’ten kaldırması gerekir. Kiely, saldırı riskinin fidye yazılımının çok ötesine uzandığının farkında olmanın da önemli olduğunu ekliyor.
“İstismarın olası sonuçları [include] hesap erişimini kaldırma, veri imhası, tahrifat, kaynak ele geçirme ve daha birçok teknik gibi” diye açıklıyor. “Saldırganlar hiçbir şey yapmamayı bile seçebilir ve yalnızca istismar edilen bir sunucunun daha fazla saldırı düzenlemesini bekleyebilir” – öyle olması gereken bir şey sessiz VulnCheck PoC’nin daha kolay etkinleştirilebileceğini belirtti.