image

Kritiek beveiligingslek in Apache ActiveMQ gebruikt bij ransomware-aanvallen

vrijdag 3 november 2023, 10:42 door Redactie, 4 reacties

Een kritiek beveiligingslek in Apache ActiveMQ wordt actief gebruikt bij ransomware-aanvallen. De Amerikaanse overheid heeft federale instanties opgedragen om de beveiligingsupdate voor het probleem, die vorige week verscheen, binnen drie weken te installeren. Apache ActiveMQ is een open source 'message broker' voor het uitwisselen van berichten tussen verschillende applicaties.

Een kritieke remote code execution kwetsbaarheid in de software, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige shellcommando's op systemen uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 25 en 26 oktober verscheen een patch voor de kwetsbaarheid. Inmiddels maken aanvallers actief misbruik van het lek om systemen met ransomware te infecteren, zo meldt securitybedrijf Rapid7.

Organisaties worden opgeroepen om de patch zo snel mogelijk uit te rollen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties gisteren opgedragen om de update voor 17 november te installeren. Vandaag kwam de Apache Foundation met verdere uitleg over de kwetsbaarheid, aangezien die voor veel vragen van gebruikers zorgt. De Shadowserver Foundation meldde onlangs dat duizenden kwetsbare ActiveMQ-instances vanaf het internet toegankelijk zijn.

Reacties (4)
03-11-2023, 13:11 door Tintin and Milou
Ik lees altijd dat Linux beheerders zo vaak en zo gemakkelijk updaten hier.
Even snel een "get-apt upgrade" en klaar.

Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....

Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
03-11-2023, 16:31 door Anoniem
Door Tintin and Milou: Ik lees altijd dat Linux beheerders zo vaak en zo gemakkelijk updaten hier.
Even snel een "get-apt upgrade" en klaar.

Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....

Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Onverantwoord gedrag, onbekwaamheid vind je overal dus ook onder linux beheerders. Je mag soms blij zijn dat sommige partijen uberhaubt security notifications lezen. Daarnaast heb je ook vendors die dit soort meldingen weer downplayen.

Helaas zijn zit dagelijkse taferelen qua infrastructuur bewaking. Enjoy the ride.
03-11-2023, 21:20 door Anoniem
Door Tintin and Milou: Ik lees altijd dat Linux beheerders zo vaak en zo gemakkelijk updaten hier.
Even snel een "get-apt upgrade" en klaar.

Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....

Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Dit gaat om een probleem in het activemq-openwire pakket dat o.a wordt gebruikt in java (jboss) producten.
Het is een ernstig probleem omdat er geen privileges en user interactie vereist zijn.
Dit pakket maakt geen deel uit van een Linux repository, dus geen werk voor de Linux beheerder maar een applicatie beheerder. Het gaat namelijk om een pakketje dat in veel enterprise applicaties wordt gebruikt.
Die applicatiebeheerders willen nog wel eens traag zijn, omdat zij nieuwe versies van de applicatie repositories moeten klaarzetten.
Het hele Linux park wordt normaal in een enterprise gepatcht met 1 druk op de knop (per maand of week) volgens een otap ontwikkelstraat. Een critical moet natuurlijk direct worden ge-patcht.
Je hebt ook bedrijven (grote dienstverleners) die applicaties zelfs hebben uitbesteedt aan andere dienstverleners die het zelf kunnen doen (omdat de applicatie als een bepaalde user draait met eigen tools) zonder interactie met de Linux beheerder.
Die Linux beheerder doet zijn werk wel omdat alles is geautomatiseerd.
04-11-2023, 00:06 door Anoniem
Door Tintin and Milou: Ik lees altijd dat Linux beheerders zo vaak en zo gemakkelijk updaten hier.
Even snel een "get-apt upgrade" en klaar.

Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....

Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Bij ons draait deze (java) software onder windows (zit in een monitor applicatie). Dat patchen is niet eenvoudig omdat het MS update mechanisme alleen MS software faciliteert. Moet allemaal weer houtje touwtje met 3party software. Wij hadden het graag onder Linux gebracht, maar helaas company policy.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.