Kritiek beveiligingslek in Apache ActiveMQ gebruikt bij ransomware-aanvallen
Een kritiek beveiligingslek in Apache ActiveMQ wordt actief gebruikt bij ransomware-aanvallen. De Amerikaanse overheid heeft federale instanties opgedragen om de beveiligingsupdate voor het probleem, die vorige week verscheen, binnen drie weken te installeren. Apache ActiveMQ is een open source 'message broker' voor het uitwisselen van berichten tussen verschillende applicaties.
Een kritieke remote code execution kwetsbaarheid in de software, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige shellcommando's op systemen uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Op 25 en 26 oktober verscheen een patch voor de kwetsbaarheid. Inmiddels maken aanvallers actief misbruik van het lek om systemen met ransomware te infecteren, zo meldt securitybedrijf Rapid7.
Organisaties worden opgeroepen om de patch zo snel mogelijk uit te rollen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties gisteren opgedragen om de update voor 17 november te installeren. Vandaag kwam de Apache Foundation met verdere uitleg over de kwetsbaarheid, aangezien die voor veel vragen van gebruikers zorgt. De Shadowserver Foundation meldde onlangs dat duizenden kwetsbare ActiveMQ-instances vanaf het internet toegankelijk zijn.
Even snel een "get-apt upgrade" en klaar.
Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....
Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Even snel een "get-apt upgrade" en klaar.
Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....
Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Helaas zijn zit dagelijkse taferelen qua infrastructuur bewaking. Enjoy the ride.
Even snel een "get-apt upgrade" en klaar.
Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....
Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Het is een ernstig probleem omdat er geen privileges en user interactie vereist zijn.
Dit pakket maakt geen deel uit van een Linux repository, dus geen werk voor de Linux beheerder maar een applicatie beheerder. Het gaat namelijk om een pakketje dat in veel enterprise applicaties wordt gebruikt.
Die applicatiebeheerders willen nog wel eens traag zijn, omdat zij nieuwe versies van de applicatie repositories moeten klaarzetten.
Het hele Linux park wordt normaal in een enterprise gepatcht met 1 druk op de knop (per maand of week) volgens een otap ontwikkelstraat. Een critical moet natuurlijk direct worden ge-patcht.
Je hebt ook bedrijven (grote dienstverleners) die applicaties zelfs hebben uitbesteedt aan andere dienstverleners die het zelf kunnen doen (omdat de applicatie als een bepaalde user draait met eigen tools) zonder interactie met de Linux beheerder.
Die Linux beheerder doet zijn werk wel omdat alles is geautomatiseerd.
Even snel een "get-apt upgrade" en klaar.
Hoe kan het zijn dat het een impact van 10 op een schaal van 10 dit na een week nog niet gedaan is/was door beheerders? als er nu duizenden servers direct aan het Internet hangen.....
Waarom is de praktijk zo anders, dan we hier altijd van de Linux beheerders horen?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
