Aanvallers patchen Apache ActiveMQ-lek na compromitteren van server
Aanvallers maken misbruik van een kritieke kwetsbaarheid in Apache ActiveMQ om Linux-servers te compromitteren en patchen het lek zodra ze binnen zijn. Dat stelt securitybedrijf Red Canary in een analysde. Apache ActiveMQ is een open source 'message broker' voor het uitwisselen van berichten tussen verschillende applicaties.
Een kritieke remote code execution kwetsbaarheid in de software, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige shellcommando's op systemen uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Eind oktober 2023 verscheen een patch voor de kwetsbaarheid. Een aantal dagen later werd het lek al gebruikt bij ransomware-aanvallen.
Red Canary detecteerde onlangs een aanvalscampagne waarbij aanvallers het Apache ActiveMQ-lek misbruiken voor het compromitteren van cloudgebaseerde Linux-servers. Zodra de aanvallers toegang hebben installeren ze eerst een backdoor om toegang tot het systeem te behouden. Vervolgens downloaden de aanvallers bij Apache de officiële patch voor het ActiveMQ-lek.
Volgens de onderzoekers doen de aanvallers dit vermoedelijk om detectie te voorkomen, bijvoorbeeld via vulnerability scanners die het lek detecteren. Daarnaast moet het voorkomen dat het kwetsbare systeem wordt opgemerkt wanneer andere aanvallers de kwetsbaarheid proberen te misbruiken. De onderzoekers voegen toe dat aanvallers deze techniek, waarbij ze een gebruikt beveiligingslek patchen, in het verleden ook bij andere kwetsbaarheden hebben toegepast. "Het patchen van de kwetsbaarheid heeft geen invloed op hun operatie, aangezien ze al andere manieren hebben geïntroduceerd om toegang te behouden."
Apache ActiveMQ, a widely used, open source message broker written in Java. Dat draait dus ook op windows servers.
Mijn eerste verwondering is: Wie hangt er een MQ aan het internet open voor iedereen en niet via tunnels tussen betrokken webapplicatiesystemen?
Je kan trouwens beter https://www.rabbitmq.com/ icm nginx gebruiken ipv Apache :) veel safer.
Niet patchen is natuurlijk ook een doodzonde, dat geldt voor elk systeem. Daarnaast een ransomware aanval is niet hetzelfde als een ge-compromitteerd systeem, want aanvallen komen de hele dag door.
Ik heb begrepen dat het specifiek gaat om de OpenWire Module
De aanvallers zouden de sshd configuratie file aanpassen om root login toe te staan maar daarvoor moet je root rechten hebben! Hoe kan deze bug leiden tot root rechten?
Is er echt geen nieuws meer? Daarnaast is het ook geen Linux probleem. Het artikel suggereert namelijk dat het om alle Linux servers gaat. Het gaat om een java applicatie module.
Bij ons zat het probleem ook in de SANtricity Storage Plugin voor vCenter: https://security.netapp.com/advisory/ntap-20231110-0010/
Blijft wel staan dat er beheerders zijn die niet patchen en webapplicaties niet configureren met security in mind. Die MQ zou niet eens toegankelijk mogen zijn omdat het om berichten verkeer gaat binnen een applicatie op een cluster van servers.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?