VulnCheck’in baş teknoloji sorumlusu Jacob Baines, “Saldırganların CVE-2023-46604 kullanarak gizli saldırılar gerçekleştirebileceğini artık bildiğimize göre, ActiveMQ sunucularınıza yama uygulamak ve ideal olarak onları internetten tamamen kaldırmak daha da önemli hale geldi” dedi
Yöntemi gürültülü olarak nitelendiren VulnCheck, FileSystemXmlApplicationContext sınıf ve özel hazırlanmış bir SpEL ifadesi ” yerinebaşlangıç yöntemi” özelliği aynı sonuçları elde etmek ve hatta ters bir kabuk elde etmek için kullanılır 17 “Şifreleyicilerini Nashorn’da yazabilirlerdi (veya belleğe bir sınıf/JAR yükleyebilirlerdi) ve bellekte yerleşik kalabilirlerdi log dosyasında bir istisna mesajını tetiklediğini ve saldırganların adli tıp izini temizlemek için de adımlar atmasını gerektirdiğini belirtmekte fayda var
Saldırıların kullanıldığı tespit edildi ClassPathXmlApplicationContextSpring çerçevesinin bir parçası olan ve ActiveMQ içinde bulunan bir sınıftır ve kötü amaçlı bir yazılım yüklemek için kullanılır XML çekirdeği yapılandırma dosyası HTTP üzerinden ve sunucuda kimliği doğrulanmamış uzaktan kod yürütme elde edin
Buna göre yeni bulgular VulnCheck’ten, kusuru silah haline getiren tehdit aktörleri güvenmek halka açık bir kavram kanıtında (PoC) istismar ilk olarak 25 Ekim 2023’te açıklandı
Geçen ayın sonlarında yayımlanan ActiveMQ 5 16, 5
siber-2
15 Kasım 2023Haber odasıFidye Yazılımı / Güvenlik Açığı
Siber güvenlik araştırmacıları, bellekte rastgele kod yürütülmesini sağlamak için Apache ActiveMQ’daki kritik bir güvenlik açığından yararlanan yeni bir teknik gösterdi
Şu şekilde izlendi: CVE-2023-46604 (CVSS puanı: 10,0), güvenlik açığı, bir tehdit aktörünün rastgele kabuk komutları çalıştırmasına izin verebilecek bir uzaktan kod yürütme hatasıdır 7, 5
Bu güvenlik açığı o zamandan bu yana, HelloKitty gibi fidye yazılımlarını ve TellYouThePass ile benzerlikleri paylaşan bir türün yanı sıra SparkRAT adlı uzaktan erişim truva atını dağıtmak için fidye yazılımı ekipleri tarafından aktif olarak istismar edildi
VulnCheck, “Bu, tehdit aktörlerinin araçlarını diske bırakmaktan kaçınabilecekleri anlamına geliyor” dedi 16 15 ”
Ancak bunu yapmanın activemq 6 veya 5 3 sürümlerinde Apache tarafından yama uygulandı 18