Περισσότεροι από τρεις χιλιάδες διακομιστές Apache ActiveMQ που εκτίθενται στο Διαδίκτυο είναι ευάλωτοι σε μια ευπάθεια κρίσιμης απομακρυσμένης εκτέλεσης κώδικα (RCE) που αποκαλύφθηκε πρόσφατα.
Το Apache ActiveMQ είναι ένας επεκτάσιμος μεσίτης μηνυμάτων ανοιχτού κώδικα που προωθεί την επικοινωνία μεταξύ πελατών και διακομιστών, υποστηρίζοντας Java και διάφορους διαγλωσσικούς πελάτες και πολλά πρωτόκολλα, συμπεριλαμβανομένων των AMQP, MQTT, OpenWire και STOMP.
Χάρη στην υποστήριξη του έργου για ένα ποικίλο σύνολο ασφαλών μηχανισμών ελέγχου ταυτότητας και εξουσιοδότησης, χρησιμοποιείται ευρέως σε εταιρικά περιβάλλοντα όπου τα συστήματα επικοινωνούν χωρίς άμεση σύνδεση.
Το εν λόγω ελάττωμα είναι
CVE-2023-46604
μια κρίσιμη σοβαρότητα (βαθμολογία CVSS v3: 10.0) RCE που επιτρέπει στους εισβολείς να εκτελούν αυθαίρετες εντολές φλοιού εκμεταλλευόμενοι τους σειριακούς τύπους κλάσεων στο πρωτόκολλο OpenWire.
Σύμφωνα με
Η αποκάλυψη του Apache
από
τι
ς 27 Οκτωβρίου 2023, το ζήτημα επηρεάζει τις ακόλουθες εκδόσεις Apache Active MQ και Legacy OpenWire Module:
- Εκδόσεις 5.18.x πριν από την 5.18.3
- Εκδόσεις 5.17.x πριν από την 5.17.6
- Εκδόσεις 5.16.x πριν από την 5.16.7
- Όλες οι εκδόσεις πριν από τις 5.15.16
Διορθώσεις έγιναν διαθέσιμες την ίδια ημέρα με την κυκλοφορία των εκδόσεων
5.15.16
,
5.16.7
,
5.17.6
και
5.18.3
που είναι οι προτεινόμενοι στόχοι αναβάθμισης.
Χιλιάδες διακομιστές χωρίς επιδιόρθωση
Ερευνητές από την υπηρεσία παρακολούθησης απειλών
ShadowServer
βρέθηκαν 7.249 διακομιστές προσβάσιμοι με υπηρεσίες ActiveMQ.
Από αυτούς, 3.329 βρέθηκαν να εκτελούν μια έκδοση ActiveMQ ευάλωτη στο CVE-2023-4660, με όλους αυτούς τους διακομιστές να είναι ευάλωτοι στην απομακρυσμένη εκτέλεση κώδικα.
Οι περισσότερες από τις ευάλωτες περιπτώσεις (1.400) βρίσκονται στην Κίνα. Οι Ηνωμένες Πολιτείες έρχονται δεύτερες με 530, η
Γερμανία
είναι τρίτη με 153, ενώ η Ινδία, η
Ολλανδία
, η Ρωσία, η
Γαλλία
και η Νότια Κορέα έχουν 100 εκτεθειμένους διακομιστές η καθεμία.
Ευάλωτοι διακομιστές ActiveMQ από τις 30 Οκτωβρίου
(ShadowServer)
Δεδομένου του ρόλου που εκπληρώνει το Apache ActiveMQ ως μεσίτης μηνυμάτων σε εταιρικά περιβάλλοντα, η εκμετάλλευση του CVE-2023-46604 θα μπορούσε να οδηγήσει σε υποκλοπή μηνυμάτων, διακοπή
ροής
εργασιών, κλοπή δεδομένων και ακόμη και πλευρική μετακίνηση στο δίκτυο.
Καθώς οι τεχνικές λεπτομέρειες σχετικά με την εκμετάλλευση του CVE-2023-46604 είναι δημόσια διαθέσιμες, η εφαρμογή των ενημερώσεων ασφαλείας θα πρέπει να θεωρείται χρονικά ευαίσθητη.
VIA:
bleepingcomputer.com