За даними некомерційної організації Shadowserver, понад 6400 серверів Apache ActiveMQ, що знаходяться в мережі Інтернет, наразі є мішенню для активної експлуатації. Йдеться про критичну вразливість ін'єкції коду, яка дозволяє зловмисникам виконувати довільний код на скомпрометованих системах. Ця ситуація створює значний ризик для організацій, які використовують дане програмне забезпечення, оскільки атаки є поточними та успішними.
Виявлена вразливість є ін'єкцією коду (code injection), що характеризується високим рівнем небезпеки. Вона дозволяє віддаленим зловмисникам виконувати шкідливий код на сервері без належної авторизації. Apache ActiveMQ — це популярний брокер повідомлень з відкритим вихідним кодом, який широко використовується для інтеграції розподілених систем. Активна експлуатація означає, що зловмисники вже розробили та застосовують методи для використання цієї вразливості, що робить її особливо небезпечною та вимагає негайного реагування.
Ця загроза стосується всіх організацій, які використовують Apache ActiveMQ, особливо якщо їхні сервери доступні з інтернету. До таких організацій можуть належати:
- ІТ-компанії та розробники програмного забезпечення.
- Державні установи та муніципальні органи.
- Фінансові установи та банки.
- Підприємства будь-якого сектору, що покладаються на ActiveMQ для внутрішньої комунікації та інтеграції систем.
Наслідки успішної експлуатації можуть варіюватися від викрадення конфіденційних даних та повного компрометування системи до розгортання програм-вимагачів або використання серверів у ботнетах для подальших атак.
Для мінімізації ризиків та захисту від цієї вразливості, Cyber Index UA рекомендує наступні кроки:
- Негайне оновлення: Терміново оновіть всі інсталяції Apache ActiveMQ до останньої безпечної версії, що виправляє цю вразливість.
- Обмеження доступу: Переконайтеся, що сервери ActiveMQ не доступні з інтернету без крайньої необхідності. Використовуйте фаєрволи та мережеву сегментацію для обмеження доступу лише до довірених IP-адрес.
- Моніторинг: Впровадьте посилений моніторинг журналів подій для виявлення підозрілої активності на серверах ActiveMQ, такої як несанкціонований доступ або виконання невідомих процесів.
- Сканування вразливостей: Регулярно проводьте сканування вразливостей для виявлення та усунення потенційних слабких місць у вашій інфраструктурі.
- План реагування: Переконайтеся, що у вашій організації є чіткий та актуальний план реагування на інциденти кібербезпеки на випадок компрометації.