Tin An Ninh Mạng

[Cập nhật]: Đã có PoC cho lỗ hổng thực thi mã từ xa trong Apache ActiveMQ

Cập nhật:

Ngày 16 tháng 11 năm 2023, theo phát hiện mới của VulnCheck, những kẻ tấn công lạm dụng lỗ hổng CVE-2023-46604 đang dựa vào kỹ thuật trong mã khai thác (PoC) được công bố lần đầu vào ngày 25 tháng 10 năm 2023.

Các cuộc tấn công được phát hiện sử dụng ClassPathXmlApplicationContext, một thành phần thuộc framework Spring và có sẵn trong ActiveMQ để tải một tệp cấu hình XML bean độc hại qua HTTP, từ đó thực thi mã từ xa chưa xác thực trên máy chủ.

VulnCheck không đánh giá cao phương thức này và cho biết họ đã phát triển một kỹ thuật khai thác hiệu quả hơn bằng cách sử dụng thành phần FileSystemXmlApplicationContext và nhúng một biểu thức SpEL tự tạo thay thế cho thuộc tính “init-method” để đạt được cùng kết quả, thậm chí có thể thu được đảo ngược shell (reverse shell).


Gần đây, ActiveMQ – một sản phẩm của Apache – đã bị phát hiện tồn tại lỗ hổng XML external entity (XXE) injection. Lỗ hổng được gán mã định danh là CVE-2023-46604, điểm CVSS 10/10, chủ yếu xuất phát từ cấu hình mặc định của ActiveMQ.

{

}

ActiveMQ.png

Sau khi cài đặt, cổng dịch vụ mặc định là 61616 và chức năng TcpTransport đi kèm đã bỏ qua việc kiểm tra dữ liệu quan trọng. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của nạn nhân, từ đó có toàn quyền kiểm soát hệ thống.

Một loạt các phiên bản ActiveMQ chịu ảnh hưởng bởi lỗ hổng:

  • Phiên bản Apache ActiveMQ < 5.18.3
  • Phiên bản Apache ActiveMQ < 5.17.6
  • Phiên bản Apache ActiveMQ < 5.16.7
  • Phiên bản Apache ActiveMQ < 5.15.16
  • Mô-đun OpenWire Legacy Apache ActiveMQ phiên bản 5.18.0 tới trước 5.18.3
  • Mô-đun OpenWire Legacy Apache ActiveMQ phiên bản 5.17.0 tới trước 5.17.6
  • Mô-đun OpenWire Legacy Apache ActiveMQ phiên bản 5.16.0 tới trước 5.16.7
  • Mô-đun OpenWire LegacyApache ActiveMQ phiên bản 5.8.0 tới trước 5.15.16

Apache đã nhanh chóng bắt tay vào xử lý lỗ hổng này. Người dùng đang sử dụng các phiên bản có nguy cơ bị tấn công nên nhanh chóng chuyển sang:

  • Phiên bản Apache ActiveMQ >= 5.18.3
  • Phiên bản Apache ActiveMQ >= 5.17.6
  • Phiên bản Apache ActiveMQ >= 5.16.7
  • Phiên bản Apache ActiveMQ >= 5.15.16

Hiện chi tiết về lỗ hổng này đã được công khai. Các tổ chức có thể tự bảo vệ mình khỏi lỗ hổng CVE-2023-46604 bằng cách thực hiện các bước sau:

  • Cập nhật lên phiên bản ActiveMQ mới nhất càng sớm càng tốt.
  • Chặn cổng 61616 trên tường lửa nếu không cần dùng ActiveMQ.
  • Triển khai tường lửa ứng dụng web (WAF) để chặn các truy vấn độc hại.
  • Sử dụng trình quét lỗ hổng để thường xuyên kiểm tra các lỗ hổng trong ActiveMQ và các hệ thống khác.
Nguồn: Security Online

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !