Yazılım & İşletim SistemiOrta

Apache ActiveMQ Kritik Kod Enjeksiyonu (CVE-2023-46604) Güvenlik Rehberi

Apache ActiveMQ üzerinde aktif olarak istismar edilen kritik kod enjeksiyonu zafiyetini (CVE-2023-46604) ele alıyoruz. Etkilenen sistemlerin tespiti ve yamalanması için gerekli adımlar.

B
Bleeping Computer Tutorials
11 görüntülenme
Apache ActiveMQ Kritik Kod Enjeksiyonu (CVE-2023-46604) Güvenlik Rehberi

Genel Bakış

Shadowserver Vakfı tarafından yapılan araştırmalar, dünya genelinde 6.400'den fazla Apache ActiveMQ sunucusunun, uzaktan kod yürütülmesine (RCE) olanak tanıyan kritik bir güvenlik açığına karşı savunmasız olduğunu ortaya koymuştur. Bu zafiyet (CVE-2023-46604), saldırganların OpenWire protokolündeki bir kusuru kullanarak sunucu üzerinde yetkisiz komutlar çalıştırmasına imkan tanımaktadır.

Zafiyetin Etkisi

Bu güvenlik açığı, saldırganların savunmasız sunucular üzerinde tam kontrol sağlamasına ve kötü amaçlı yazılım (malware) veya fidye yazılımı (ransomware) dağıtmasına olanak tanır. Özellikle internete açık olan sunucular, saldırı yüzeyinin geniş olması nedeniyle yüksek risk altındadır.

Çözüm Adımları

Sistem güvenliğini sağlamak için aşağıdaki adımları sırasıyla uygulamanız önerilir:

  1. Sürüm Kontrolü: Mevcut ActiveMQ sürümünüzü kontrol edin. Etkilenen sürümler: 5.18.3 öncesi, 5.17.6 öncesi, 5.16.7 öncesi ve 5.15.16 öncesi.
  2. Güncelleme: Sunucunuzu en son kararlı sürüme yükseltin.
  3. Ağ Sıkılaştırma: ActiveMQ yönetim arayüzüne ve OpenWire portuna (genellikle 61616) erişimi yalnızca güvenilir IP adresleriyle sınırlandırın.

Güncelleme Komutları

Linux tabanlı sistemlerde güncelleme kontrolü için aşağıdaki adımları izleyebilirsiniz:

# ActiveMQ servisinin durdurulması
sudo systemctl stop activemq

# Güncel sürümün indirilmesi ve kurulumu
wget https://activemq.apache.org/activemq-5-18-3-release
tar -xvf apache-activemq-5.18.3-bin.tar.gz

# Servisin yeniden başlatılması
sudo systemctl start activemq
UYARI: Güncelleme yapmadan önce mutlaka veritabanı ve konfigürasyon dosyalarınızın yedeğini alın. Yama işlemi sırasında servis kesintisi yaşanacağını unutmayın.

İzleme ve Tespit

Sisteminizde bir ihlal olup olmadığını anlamak için günlük (log) kayıtlarını inceleyin. Özellikle activemq.log dosyası içerisinde beklenmedik sınıf yükleme hataları veya şüpheli dış bağlantı istekleri arayın. Ağ trafiğini izlemek için netstat veya ss komutlarını kullanarak 61616 portuna gelen bağlantıları düzenli olarak denetleyin.

Sisteminizin internete açık olup olmadığını kontrol etmek için nmap aracını kullanabilirsiniz:

# 61616 portunun açık olup olmadığını kontrol edin
nmap -p 61616 [SUNUCU_IP_ADRESI]

Sonuç olarak, bu kritik zafiyetin aktif olarak istismar ediliyor olması, yama yönetiminin önemini bir kez daha vurgulamaktadır. En kısa sürede güncellemelerin tamamlanması ve ağ segmentasyonunun gözden geçirilmesi elzemdir.

İlgili Makaleler