Açık kaynaklı bir mesajlaşma aracı olan Apache ActiveMQ’de uzaktan kod yürütme (RCE) güvenlik açığı keşfedilmiştir. Bu zafiyet saldırganın etkilenen sistemi tamamen ele geçirmesine olanak tanıdığı için kritiktir ve CVSS puanı 10 olarak yayınlanmıştır. CVE-2023-46604, ActiveMQ broker’a ağ erişimi olan bir saldırganın Spring XML URL’sini içeren bir paket göndererek OpenWire protokolündeki serileştirilmiş sınıf türlerini manipüle ederek rastgele shell komutları çalıştırmasına olanak tanır.
PoC GitHub‘da yayınlanmıştır.
Rapid7, Apache ActiveMQ CVE-2023-46604’ten yararlanma girişimleri tespit ettiğini açıkladı. Gözlemlenen saldırılarda fidye notuna ve mevcut kanıtlar göz önünde bulundurulduğunda etkinliğin HelloKitty fidye yazılımı olduğu sonucuna varılmıştır.
CVE-2023-46604’ü başarıyla kullandıktan sonra saldırganlar Windows Installer(msiexec.exe)’ı kullanarak PNG görüntüleri olarak gizlenen iki MSI dosyası yüklemektedir.
MSI dosyaları EncDLL adlı base64 kodlu bir .NET DLL dosyasını yükleyen bir .NET dosyası içermektedir.
EncDLL dosyasının amacı, belirli işlemleri aramak, durdurmak, dosyaları RSACryptoServiceProvider işleviyle şifrelemek ve bunlara bir “.locked” uzantısı eklemektir.
ShadowServer araştırmacıları 30 Ekim itibariyle CVE-2023-46604’e karşı savunmasız bir ActiveMQ sürümüne sahip 3.329 sunucu tespit etmiştir.
Etkilenen Sürümler:
- Apache ActiveMQ 5.18.0, 5.18.3 öncesi
- Apache ActiveMQ 5.17.0, 5.17.6 öncesi
- Apache ActiveMQ 5.16.0, 5.16.7 öncesi
- Apache ActiveMQ 5.15.16 öncesi
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 öncesi 5.18.3
- Apache ActiveMQ Eski OpenWire Modülü 5.17.0, 5.17.6’dan önce
- Apache ActiveMQ Eski OpenWire Modülü 5.16.0, 5.16.7’den önce
- Apache ActiveMQ Eski OpenWire Modülü 5.8.0, 5.15.16’dan önce
Çözüm:
- Zafiyetten etkilenen sistemlerin 5.15.16, 5.16.7, 5.17.6 veya 5.18.3 sürümüne yükseltilmesi önerilmektedir.
Referanslar:
https://nvd.nist.gov/vuln/detail/CVE-2023-46604
https://activemq.apache.org/news/cve-2023-46604
https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt