Apache ActiveMQ Kusuruna Yönelik Yeni PoC İstismarı, Saldırganların Radarın Altından Uçmasına İzin Verebilir - Dünyadan Güncel Teknoloji Haberleri

Apache ActiveMQ Kusuruna Yönelik Yeni PoC İstismarı, Saldırganların Radarın Altından Uçmasına İzin Verebilir - Dünyadan Güncel Teknoloji Haberleri


15 Kasım 2023Haber odasıFidye Yazılımı / Güvenlik Açığı

Siber güvenlik araştırmacıları, bellekte rastgele kod yürütülmesini sağlamak için Apache ActiveMQ’daki kritik bir güvenlik açığından yararlanan yeni bir teknik gösterdi “Şifreleyicilerini Nashorn’da yazabilirlerdi (veya belleğe bir sınıf/JAR yükleyebilirlerdi) ve bellekte yerleşik kalabilirlerdi

VulnCheck, “Bu, tehdit aktörlerinin araçlarını diske bırakmaktan kaçınabilecekleri anlamına geliyor” dedi

Saldırıların kullanıldığı tespit edildi ClassPathXmlApplicationContextSpring çerçevesinin bir parçası olan ve ActiveMQ içinde bulunan bir sınıftır ve kötü amaçlı bir yazılım yüklemek için kullanılır 6 veya 5 log dosyasında bir istisna mesajını tetiklediğini ve saldırganların adli tıp izini temizlemek için de adımlar atmasını gerektirdiğini belirtmekte fayda var

Buna göre yeni bulgular VulnCheck’ten, kusuru silah haline getiren tehdit aktörleri güvenmek halka açık bir kavram kanıtında (PoC) istismar ilk olarak 25 Ekim 2023’te açıklandı

Yöntemi gürültülü olarak nitelendiren VulnCheck, FileSystemXmlApplicationContext sınıf ve özel hazırlanmış bir SpEL ifadesi ” yerinebaşlangıç ​​yöntemi” özelliği aynı sonuçları elde etmek ve hatta ters bir kabuk elde etmek için kullanılır

Şu şekilde izlendi: CVE-2023-46604 (CVSS puanı: 10,0), güvenlik açığı, bir tehdit aktörünün rastgele kabuk komutları çalıştırmasına izin verebilecek bir uzaktan kod yürütme hatasıdır

VulnCheck’in baş teknoloji sorumlusu Jacob Baines, “Saldırganların CVE-2023-46604 kullanarak gizli saldırılar gerçekleştirebileceğini artık bildiğimize göre, ActiveMQ sunucularınıza yama uygulamak ve ideal olarak onları internetten tamamen kaldırmak daha da önemli hale geldi” dedi 16 7, 5



siber-2

18 16, 5 XML çekirdeği yapılandırma dosyası HTTP üzerinden ve sunucuda kimliği doğrulanmamış uzaktan kod yürütme elde edin 15

Geçen ayın sonlarında yayımlanan ActiveMQ 5 3 sürümlerinde Apache tarafından yama uygulandı

Bu güvenlik açığı o zamandan bu yana, HelloKitty gibi fidye yazılımlarını ve TellYouThePass ile benzerlikleri paylaşan bir türün yanı sıra SparkRAT adlı uzaktan erişim truva atını dağıtmak için fidye yazılımı ekipleri tarafından aktif olarak istismar edildi 17 ”

Ancak bunu yapmanın activemq