[Cập nhật]: Đã có PoC cho lỗ hổng thực thi mã từ xa trong Apache ActiveMQ

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
85
553 bài viết
[Cập nhật]: Đã có PoC cho lỗ hổng thực thi mã từ xa trong Apache ActiveMQ
WhiteHat Team

Cập nhật:

Ngày 16 tháng 11 năm 2023, theo phát hiện mới của VulnCheck, những kẻ tấn công lạm dụng lỗ hổng CVE-2023-46604 đang dựa vào kỹ thuật trong mã khai thác (PoC) được công bố lần đầu vào ngày 25 tháng 10 năm 2023.

Các cuộc tấn công được phát hiện sử dụng ClassPathXmlApplicationContext, một thành phần thuộc framework Spring và có sẵn trong ActiveMQ để tải một tệp cấu hình XML bean độc hại qua HTTP, từ đó thực thi mã từ xa chưa xác thực trên máy chủ.

VulnCheck không đánh giá cao phương thức này và cho biết họ đã phát triển một kỹ thuật khai thác hiệu quả hơn bằng cách sử dụng thành phần FileSystemXmlApplicationContext và nhúng một biểu thức SpEL tự tạo thay thế cho thuộc tính "init-method" để đạt được cùng kết quả, thậm chí có thể thu được đảo ngược shell (reverse shell).


Gần đây, ActiveMQ - một sản phẩm của Apache - đã bị phát hiện tồn tại lỗ hổng XML external entity (XXE) injection. Lỗ hổng được gán mã định danh là CVE-2023-46604, điểm CVSS 10/10, chủ yếu xuất phát từ cấu hình mặc định của ActiveMQ.

ActiveMQ.png

Sau khi cài đặt, cổng dịch vụ mặc định là 61616 và chức năng TcpTransport đi kèm đã bỏ qua việc kiểm tra dữ liệu quan trọng. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của nạn nhân, từ đó có toàn quyền kiểm soát hệ thống.

Một loạt các phiên bản ActiveMQ chịu ảnh hưởng bởi lỗ hổng:
  • Phiên bản Apache ActiveMQ < 5.18.3
  • Phiên bản Apache ActiveMQ < 5.17.6
  • Phiên bản Apache ActiveMQ < 5.16.7
  • Phiên bản Apache ActiveMQ < 5.15.16
  • Mô-đun OpenWire Legacy Apache ActiveMQ phiên bản 5.18.0 tới trước 5.18.3
  • Mô-đun OpenWire Legacy Apache ActiveMQ phiên bản 5.17.0 tới trước 5.17.6
  • Mô-đun OpenWire Legacy Apache ActiveMQ phiên bản 5.16.0 tới trước 5.16.7
  • Mô-đun OpenWire LegacyApache ActiveMQ phiên bản 5.8.0 tới trước 5.15.16
Apache đã nhanh chóng bắt tay vào xử lý lỗ hổng này. Người dùng đang sử dụng các phiên bản có nguy cơ bị tấn công nên nhanh chóng chuyển sang:
  • Phiên bản Apache ActiveMQ >= 5.18.3
  • Phiên bản Apache ActiveMQ >= 5.17.6
  • Phiên bản Apache ActiveMQ >= 5.16.7
  • Phiên bản Apache ActiveMQ >= 5.15.16
Hiện chi tiết về lỗ hổng này đã được công khai. Các tổ chức có thể tự bảo vệ mình khỏi lỗ hổng CVE-2023-46604 bằng cách thực hiện các bước sau:
  • Cập nhật lên phiên bản ActiveMQ mới nhất càng sớm càng tốt.
  • Chặn cổng 61616 trên tường lửa nếu không cần dùng ActiveMQ.
  • Triển khai tường lửa ứng dụng web (WAF) để chặn các truy vấn độc hại.
  • Sử dụng trình quét lỗ hổng để thường xuyên kiểm tra các lỗ hổng trong ActiveMQ và các hệ thống khác.
Nguồn: Security Online
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • [Cập nhật] Lỗ hổng zero-day 10 điểm trong hệ điều hành tường lửa PAN-OS
  • [Cập nhật] Đã có PoC cho lỗ hổng RCE trong sản phẩm FortiOS SSL VPN của Fortinet
  • [Cập nhật] Xuất hiện PoC cho lỗ hổng CVE-2024-23897
  • [Cập nhật]: Đã có PoC cho lỗ hổng zero-day CVE-2023-36874 trong Microsoft Windows
  • [Cập nhật]: Đã có PoC cho lỗ hổng nghiêm trọng trong sản phẩm giám sát mạng VMware
  • [Cập nhật] Đã xuất hiện PoC cho lỗ hổng nghiêm trọng trong GitLab
    • Thẻ
    activemq cve-2023-46604
    Bên trên