Apache ActiveMQ adalah sebuah layanan broker pesan open-source yang digunakan untuk mengirim dan menerima data antara aplikasi-aplikasi yang berbeda. Layanan ini memiliki banyak fitur dan fungsi, seperti dukungan protokol yang beragam, integrasi dengan sistem-sistem lain, dan kemampuan untuk menangani beban yang tinggi. Namun, layanan ini juga memiliki kerentanan keamanan yang serius, yang dapat dimanfaatkan oleh para peretas untuk melakukan serangan ransomware.
.
Ransomware adalah sebuah jenis malware yang mengenkripsi data korban dan menuntut tebusan untuk mengembalikannya. Serangan ransomware dapat menyebabkan kerugian besar bagi individu maupun organisasi, baik dari segi finansial, operasional, maupun reputasi. Serangan ransomware juga dapat mengancam keselamatan dan keamanan publik, jika menargetkan sektor-sektor kritis, seperti kesehatan, energi, atau transportasi.
Ransomware adalah sebuah jenis malware yang mengenkripsi data korban dan menuntut tebusan untuk mengembalikannya. Serangan ransomware dapat menyebabkan kerugian besar bagi individu maupun organisasi, baik dari segi finansial, operasional, maupun reputasi. Serangan ransomware juga dapat mengancam keselamatan dan keamanan publik, jika menargetkan sektor-sektor kritis, seperti kesehatan, energi, atau transportasi.
.
Pada akhir Oktober 2023, Apache mengumumkan adanya kerentanan kritis di ActiveMQ, yang diberi kode CVE-2023-46604. Kerentanan ini memungkinkan seorang penyerang jarak jauh dengan akses jaringan ke broker untuk menjalankan perintah shell sembarang dengan memanipulasi jenis kelas yang diserialisasi di protokol OpenWire untuk menyebabkan broker menginstansiasi kelas apa pun di classpath. Kerentanan ini memiliki skor CVSS 10.0, yang menunjukkan tingkat keparahan maksimum. Kerentanan ini telah diperbaiki di versi ActiveMQ 5.15.16, 5.16.7, 5.17.6, atau 5.18.3 yang dirilis pada akhir bulan tersebut.
Pada akhir Oktober 2023, Apache mengumumkan adanya kerentanan kritis di ActiveMQ, yang diberi kode CVE-2023-46604. Kerentanan ini memungkinkan seorang penyerang jarak jauh dengan akses jaringan ke broker untuk menjalankan perintah shell sembarang dengan memanipulasi jenis kelas yang diserialisasi di protokol OpenWire untuk menyebabkan broker menginstansiasi kelas apa pun di classpath. Kerentanan ini memiliki skor CVSS 10.0, yang menunjukkan tingkat keparahan maksimum. Kerentanan ini telah diperbaiki di versi ActiveMQ 5.15.16, 5.16.7, 5.17.6, atau 5.18.3 yang dirilis pada akhir bulan tersebut.
Namun, tidak lama setelah pengumuman tersebut, kode bukti konsep (PoC) dan detail teknis tambahan telah dibuat tersedia secara publik, yang memudahkan para peretas untuk mengeksploitasi kerentanan ini. Salah satu kelompok peretas yang diketahui telah mengeksploitasi kerentanan ini adalah HelloKitty, yang merupakan keluarga ransomware yang kode sumbernya bocor di sebuah forum pada awal Oktober.
Menurut laporan dari perusahaan keamanan siber Rapid7, HelloKitty telah berhasil mengeksploitasi kerentanan ActiveMQ di dua lingkungan pelanggan yang berbeda, dan mencoba untuk menyebarkan biner ransomware di sistem-sistem target. Dalam kedua kasus, peretas mencoba untuk memuat biner jarak jauh bernama M2.png dan M4.png menggunakan Windows Installer (msiexec). Kedua file MSI tersebut berisi sebuah eksekutabel .NET 32-bit bernama dllloader yang kemudian memuat sebuah payload yang dikodekan Base64 bernama EncDLL yang berfungsi seperti ransomware, mencari dan menghentikan sejumlah proses tertentu sebelum memulai proses enkripsi dan menambahkan ekstensi “.locked” pada file-file yang terenkripsi.
Serangan HelloKitty ini menunjukkan betapa berbahayanya kerentanan ActiveMQ bagi pengguna layanan tersebut, terutama yang menggunakan versi yang rentan. Data yang terenkripsi oleh ransomware dapat menjadi tidak dapat diakses atau dipulihkan, kecuali korban membayar tebusan atau memiliki cadangan yang aman. Selain itu, data yang terenkripsi juga dapat dibocorkan ke internet oleh peretas, jika korban tidak memenuhi tuntutan mereka.
Oleh karena itu, pengguna ActiveMQ disarankan untuk segera memperbarui ke versi yang telah diperbaiki dan memindai jaringan mereka untuk indikator kompromi. Selain itu, pengguna ActiveMQ juga harus meningkatkan kesadaran dan kewaspadaan mereka terhadap ancaman ransomware, dan mengambil langkah-langkah pencegahan dan mitigasi yang sesuai, seperti:
- Menggunakan kredensial dan enkripsi yang kuat. Anda perlu menggunakan kredensial dan enkripsi yang kuat untuk melindungi akses dan komunikasi Anda dengan broker ActiveMQ. Anda juga perlu mengelola dan menyimpan kredensial Anda dengan aman, dan tidak mengunggahnya ke tempat-tempat yang tidak terpercaya atau terbuka.
- Menggunakan firewall dan antivirus yang terbaru. Anda perlu menggunakan firewall dan antivirus yang terbaru untuk melindungi sistem Anda dari serangan jaringan atau malware. Anda juga perlu memperbarui dan mengkonfigurasi firewall dan antivirus Anda dengan benar, sesuai dengan standar dan praktik keamanan yang berlaku.
- Membuat cadangan data secara teratur. Anda perlu membuat cadangan data Anda secara teratur ke media yang aman dan terpisah dari sistem Anda. Anda juga perlu memeriksa dan memverifikasi cadangan Anda secara berkala, untuk memastikan bahwa data Anda dapat dipulihkan jika terjadi serangan ransomware.
Serangan ransomware baru mengincar kerentanan ActiveMQ adalah sebuah peringatan bagi pengguna layanan broker pesan open-source tersebut. Anda perlu memperhatikan dan mengatasi kerentanan tersebut, dan melindungi data Anda dengan cara-cara yang tepat. Dengan demikian, Anda dapat menghindari kerugian dan dampak negatif akibat serangan ransomware.
