CVE-2023-46604 Apache ActiveMQ RCE漏洞
作者:Kudelski安全威胁检测与研究团队 Joshua Cartlidge
摘要
2023年10月25日,Apache披露了ActiveMQ远程代码执行(RCE)漏洞CVE-2023-46604,并发布了新版本作为修复方案。该漏洞因其影响范围和易利用性对攻击者极具吸引力。此外,漏洞利用代码和细节已公开可用,增加了缓解措施的重要性。
Apache ActiveMQ是企业环境中可扩展的开源消息代理,支持多种跨语言客户端(如Java)和协议(包括AMQP、MQTT、OpenWire和STOMP)。
CVE-2023-46604允许攻击者通过利用OpenWire协议中的序列化类类型来执行任意命令。
受影响系统和/或应用
以下ActiveMQ版本受到影响:
- Apache ActiveMQ 5.18.0至5.18.3之前版本
- Apache ActiveMQ 5.17.0至5.17.6之前版本
- Apache ActiveMQ 5.16.0至5.16.7之前版本
- Apache ActiveMQ 5.15.16之前版本
- Apache ActiveMQ Legacy OpenWire Module 5.18.0至5.18.3之前版本
- Apache ActiveMQ Legacy OpenWire Module 5.17.0至5.17.6之前版本
- Apache ActiveMQ Legacy OpenWire Module 5.16.0至5.16.7之前版本
- Apache ActiveMQ Legacy OpenWire Module 5.8.0至5.15.16之前版本
技术细节/攻击概述
连接到OpenWire端口61616的攻击者可以构造一个OpenWire数据包来反序列化ExceptionResponse对象实例。通过向BaseDataStreamMarshaller.createThrowable提供任意类名和字符串参数,攻击者可以实例化任意类并执行单命令字符串参数。
解决方案
Kudelski安全强烈建议将受影响系统升级到推荐版本(5.15.16、5.16.7、5.17.6和5.18.3)以防止漏洞利用。
网络融合中心(CFC)采取的措施
截至本文撰写时,已发布CVE-2023-46604的漏洞扫描插件。完成漏洞扫描后,相关服务客户将收到适用案例。
CFC将持续监控情况,并在获得相关可操作数据时决定下一步措施(如威胁狩猎活动)。
参考来源
- https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
- https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604
- https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
- https://www.bleepingcomputer.com/news/security/3-000-apache-activemq-servers-vulnerable-to-rce-attacks-exposed-online