ClickCease Apache ActiveMQ 취약점으로부터 보호하기

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Apache ActiveMQ 취약점으로부터 보호하기

와자핫 라자

2023년 11월 15일 - TuxCare 전문가 팀

사이버 보안의 세계에서는 새로운 위협이 끊임없이 등장하므로 조직은 경계를 늦추지 않는 것이 중요합니다. 최근 CVE-2023-46604로 알려진 심각한 취약점이 헬로키티 랜섬웨어 그룹에 의해 익스플로잇되어 화제가 되고 있습니다. 헬로키티 랜섬웨어 그룹. 이 블로그 게시물에서는 이 취약점에 대해 자세히 알아보겠습니다. 아파치 액티브MQ 취약점 에 대해 자세히 알아보고 잠재적인 공격으로부터 Linux 시스템을 보호할 수 있는 방법을 살펴보겠습니다.

 

Apache ActiveMQ 취약점


끊임없이 진화하는 사이버 보안 환경을 헤쳐나가기 위해서는 취약점을 조기에 발견하는 것이 매우 중요합니다. CVE-2023-46604, a
원격 코드 실행 (RCE) 결함은 사용자에게 심각한 위협이 될 수 있어 주목을 받고 있습니다. 이 취약점과 관련된 익스플로잇 시도를 탐지하는 데 도움을 주기 위해 SOC 프라임 팀은 잠재적인 공격을 식별하도록 설계된 시그마 규칙을 개발했습니다.

이 시그마 규칙은 SIEM, EDR, XDR 및 데이터 레이크 형식과 같은 다양한 보안 도구와 호환됩니다. 이 규칙은 권한 상승 전술에 중점을 두고 권한 상승을 위한 익스플로잇(T1068)을 주요 기법으로 사용하는 MITRE ATT&CK 프레임워크와 일치합니다.

 

CVE-2023-46604 이해


CVE-2023-46604는 Apache ActiveMQ에서 발견된 RCE 결함으로, CVSS 점수가 10.0으로 높아 그 심각성이 매우 높습니다. 이 취약점은 감염된 사용자에게 심각한 피해를 입힐 수 있는 잠재력을 가지고 있습니다. 공격자는
Apache ActiveMQ를 악용 를 악용하여 영향을 받는 디바이스에 랜섬웨어를 설치하여 조직을 표적으로 삼아 금전을 갈취합니다.

헬로키티 랜섬웨어 그룹 헬로키티 랜섬웨어 그룹 은 주로 한 달 전에 유출된 소스 코드를 포함하여 조사 과정에서 확보한 랜섬노트와 증거를 바탕으로 이러한 악의적인 활동과 연관되어 있습니다.


사이버 범죄자에 의한 취약점 악용

 

CVE-2023-46604는 Apache ActiveMQ 브로커에 대한 네트워크 액세스 권한을 가진 원격 공격자가 임의의 셸 명령을 실행할 수 있도록 허용합니다. 이 익스플로잇은 OpenWire 프로토콜 내에서 직렬화된 클래스 유형을 조작하여 이루어집니다. 이 조작은 브로커가 클래스 경로에서 사용 가능한 모든 클래스의 인스턴스를 생성하도록 유도합니다.

이 취약점이 성공적으로 익스플로잇되면 공격자는 Windows 인스톨러를 사용하여 명명된 원격 바이너리를 로드합니다. 이 바이너리에는 "dllloader"라는 이름의 32비트 .NET 실행 파일이 포함되어 있으며, 이 파일은 랜섬웨어 공격과 유사하게 작동하는 Base64로 인코딩된 페이로드를 랜섬웨어 공격.

 

공개 공개 및 PoC 익스플로잇


상황의 복잡성을 더하기 위해
개념 증명(PoC) 익스플로잇 코드가 깃허브에 공개되었습니다. 잠재적인 공격자가 익스플로잇 코드에 쉽게 액세스하여 활용할 수 있으므로 위험성이 높아집니다. 따라서 조직은 이 위협을 완화하기 위해 신속하게 대응하는 것이 중요합니다.

또한 Rapid7 연구원들은 공격자KB의 CVE-2023-46604에 대한 포괄적인 기술 인사이트를 제공하여 익스플로잇 세부 사항과 해결 방법을 다루고 있습니다. 이러한 세부 정보를 파악하는 것은 잠재적인 공격을 방어하는 데 매우 중요합니다.

 

완화 단계


이 긴급한 문제에 대한 해결책의 일환으로 Apache는 위협을 완화하기 위한 구체적인 단계를 권장하는 권고문을 발표했습니다. 잠재적으로 영향을 받을 수 있는 사용자는 다음에 대한 수정 사항이 포함된 다음 소프트웨어 버전을 설치할 것을 강력히 권장합니다.
CVE-2023-46604:

  • 버전 5.15.16
  • 버전 5.16.7
  • 버전 5.17.6
  • 버전 5.18.3

이러한 소프트웨어 업데이트를 구현함으로써 조직은 잠재적인 익스플로잇에 대한 방어를 강화하고 다음을 방지할 수 있습니다. 보안 침해es.

 

신속한 조치로 위험 최소화


CVE-2023-46604의 활발한 익스플로잇과 PoC 익스플로잇의 공개로 인해 사이버 보안에 대한 매우 신속한 대응이 요구됩니다. 조직은 이 취약점과 관련된 위험을 줄이기 위해 선제적으로 노력해야 합니다.


SOC Prime의 위협 탐지 마켓플레이스 살펴보기


오늘날의 역동적인 위협 환경에서는 CVE-2023-46604와 같은 취약점에 대한 최신 탐지 알고리즘을 계속 업데이트하는 것이 중요합니다. SOC Prime의 위협 탐지 마켓플레이스는 다양한 CVE에 대한 최신 탐지 방법에 대한 정보를 얻을 수 있는 귀중한 리소스를 제공합니다. 이 마켓플레이스는 또한 최신 공격자 전술, 기술 및 절차(TTP)에 대한 인사이트와 함께 맞춤형
위협 인텔리전스 에 대한 인사이트도 제공합니다.


결론

 

사이버 보안 취약점 은 진화하고 있으며, 조직은 이에 적응하고 방어를 강화하는 것이 필수적입니다. 헬로키티 랜섬웨어 그룹이 악용한 아파치 액티브MQ의 CVE-2023-46604 취약점은 사전 예방적 사이버 보안 조치의 필요성을 극명하게 보여주는 사례입니다. 권장 소프트웨어 업데이트를 실행하고 한 발 앞서 위협에 한발 앞서 대응함으로써 조직은 끊임없이 변화하는 디지털 환경에서 Linux 시스템을 보호하고 위험을 최소화할 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스SOC Prime.

요약
Apache ActiveMQ 취약점으로부터 보호하기
기사 이름
Apache ActiveMQ 취약점으로부터 보호하기
설명
헬로키티 랜섬웨어 그룹이 악용한 아파치 액티브MQ 취약점으로부터 시스템을 보호하는 방법을 알아보세요. 데이터를 안전하게 보호하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기