Af Eskil Sørensen, 17/11/23
Ny teknik udnytter kritisk fejl i Apache Apache ActiveMQ til afvikling af vilkårlig kode i hukommelsen.
Dette fremgår af en artikel i The Hacker News. Omdrejningspunktet i sagen er en sårbarhed med id’et CVE-2023-46604 og en maksimal CVSS-score på 10,0, der blev patchet i sidste måned af Apache i ActiveMQ.
Sårbarheden er netop en RCE-fejl, der kan tillade en trusselaktør at køre vilkårlige shell-kommandoer. Oprindeligt blev POC-udnyttelsen offentliggjort den 25. oktober, men den nye teknik er en videreudvikling af den gamle POC.
De berørte versioner er:
- Apache ActiveMQ 5.18.0 før 5.18.3
- Apache ActiveMQ 5.17.0 før 5.17.6
- Apache ActiveMQ 5.16.0 før 5.16.7
- Apache ActiveMQ før 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 før 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 før 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 før 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 før 5.15.16
Det anbefales at opdatere ifølge Apaches anvisninger.
Links:
https://issues.apache.org/jira/browse/AMQ-9370
https://thehackernews.com/2023/11/new-poc-exploit-for-apache-activemq.html