Apache ActiveMQ hiba

Editors' Pick

A Trustwave az Apache ActiveMQ hosztok sebezhetőségeit kihasználó támadások megugrását figyelte meg. Bizonyos esetekben ezek rosszindulatú Java Server Pages (JSP) web shell fogadnak.

A web shellek egy ismeretlen bináris formátumba rejtik, és úgy tervezték, hogy kikerüljék a biztonsági és aláírás-alapú szkennereket. Figyelemre méltó, hogy a bináris ismeretlen fájlformátum ellenére az ActiveMQ JSP-motorja továbbra is lefordítja és végrehajtja a web shell-ben lévő parancsokat.

Az elmúlt hetekben jelentősen megnőtt a rosszindulatú tevékenység, amely az Apache ActiveMQ szoftver egy nemrégiben felfedezett kritikus sebezhetőségét célozta meg. Ez a sebezhetőség kifejezetten az OpenWire protokollon belüli nem biztonságos deserializációs gyakorlatokhoz kapcsolódik, és CVE-2023-46604 néven került megjelölésre. A sebezhetőség kihasználása lehetővé teszi a fenyegető szereplők számára, hogy tetszőleges shellparancsok végrehajtásával jogosulatlan hozzáférést szerezzenek a célrendszerhez. Amióta az exploit 2023 októberében nyilvánosan elérhetővé vált, a fenyegető szereplők kriptobányászok, rootkitek, zsarolóprogramok és távoli hozzáférési trójaiak telepítésére használják.

Az Apache ActiveMQ felhasználóinak erősen ajánlott, hogy a lehető leghamarabb frissítsenek a legújabb verzióra a lehetséges fenyegetések csökkentése érdekében.

FORRÁS