Tehlikeli Apache ActiveMQ İstismarı Gizli EDR Atlamasına İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri

Tehlikeli Apache ActiveMQ İstismarı Gizli EDR Atlamasına İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri

Saldırılar şu ana kadar kusurun açığa çıkmasından kısa bir süre sonra yayınlanan halka açık bir PoC’ye dayansa da, VulnCheck’teki araştırmacılar bu hafta daha zarif bir istismar tasarladıklarını söyledi; bu istismar, saldırıları hafızadan başlatarak davetsiz misafirlerin gürültüsünü azaltıyor “Saldırganlar hiçbir şey yapmamayı bile seçebilir ve yalnızca istismar edilen bir sunucunun daha fazla saldırı düzenlemesini bekleyebilir” – öyle olması gereken bir şey sessiz VulnCheck PoC’nin daha kolay etkinleştirilebileceğini belirtti “Şifreleyicilerini Nashorn’da yazmış olabilirler (ya da belleğe bir sınıf/JAR yükleyebilirler) ve bellekte yerleşik kalabilirler, belki de yönetilenler tarafından tespit edilmekten kaçınabilirlerdi Kiely, saldırı riskinin fidye yazılımının çok ötesine uzandığının farkında olmanın da önemli olduğunu ekliyor

Maksimum önem derecesine sahip hata (CVE-2023-46604, CVSS puanı 10), kimliği doğrulanmamış tehdit aktörlerinin rastgele kabuk komutları çalıştırmasına izin veriyor ve bu hata, geçen ayın sonlarında Apache tarafından yamalandı



Apache ActiveMQ’daki kritik bir güvenlik açığına yönelik yeni bir kavram kanıtlama (PoC) istismarı, açık kaynak mesaj aracısını çalıştıran sunucularda uzaktan kod yürütmeyi (RCE) gerçekleştirmeyi her zamankinden daha kolay hale getiriyor ve bunu yaparken bildirim yapılmasını önlüyor ” VulnCheck’in yeni ActiveMQ istismarını detaylandıran gönderisi [endpoint detection and response] EDR ekipleri

“VulnCheck’in kavram kanıtı, kodu yürütmek için genellikle istismar edilen sistemin kabuğunu kullanmaya dayanan önceki halka açık PoC’lerden belirgin bir evrimdir” diyor ve Huntress ekibinin yeni tekniğin gerçekten de reklamı yapıldığı gibi çalıştığını doğruladığını ekliyor

Ayrıca, “Eğer bir saldırgan ActiveMQ’nun savunmasız örneğine erişebiliyorsa, bu spesifik saldırının istismar edilmesi önemsizdir” diyor ve istismar geliştirmede daha fazla gelişme ve iyileştirmenin kesinlikle geleceğini ekliyor Bununla birlikte, HelloKitty fidye yazılımı çetesi ve diğerlerinin tam anlamıyla yararlandığı bir durum olan binlerce kuruluş savunmasız durumda



siber-1

log’daki suçlayıcı günlük mesajlarını silmeleri gerekse de, VulnCheck PoC, güvenlik açığına yönelik saldırıları daha gizli hale getirme konusunda hala önemli bir gelişme, Matt Kiely’e göre baş güvenlik araştırmacısı Avcı

“Bu, tehdit aktörlerinin araçlarını diske bırakmaktan kaçınabilecekleri anlamına geliyor

Bu nedenle yöneticilerin derhal CVE-2023-46604 yamasını uygulaması veya sunucuları İnternet’ten kaldırması gerekir

“İstismarın olası sonuçları [include] hesap erişimini kaldırma, veri imhası, tahrifat, kaynak ele geçirme ve daha birçok teknik gibi” diye açıklıyor ”

Yeni ActiveMQ İstismarı: Sessiz Bir Takipçiyi Etkinleştirmek

Saldırganların izlerini tamamen gizlemek için activemq