- 9,420
- 18
- 8 Ноя 2022
Теперь стало намного проще взломать и захватить контроль над сервером.
Компания VulnCheck продемонстрировала новую технику эксплуатации критической уязвимости в Apache ActiveMQ, позволяющую выполнять произвольный код в памяти. Уязвимость удалённого выполнения кода Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 10.0) позволяет злоумышленнику запускать произвольные команды оболочки. Apache Для просмотра ссылки Войди или Зарегистрируйся ошибку в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 и 5.18.3.
С тех пор уязвимость активно эксплуатируется группами вымогателей для развертывания Для просмотра ссылки Войдиили Зарегистрируйся , вируса, схожего с TellYouThePass, и трояна удаленного доступа Для просмотра ссылки Войди или Зарегистрируйся . По данным VulnCheck, киберпреступники, эксплуатирующие уязвимость, опираются на общедоступный Для просмотра ссылки Войди или Зарегистрируйся (Proof-of-Concept, PoC ), который был впервые обнародован в конце октября.
В атаках используется ClassPathXmlApplicationContext, класс, являющийся частью фреймворка Spring и доступный в ActiveMQ, для загрузки вредоносного XML-файла конфигурации через HTTP и достижения удаленного выполнения кода на сервере в обход аутентификации.
Компания VulnCheck заявила, что ей удалось создать более эффективный эксплоит , который опирается на класс FileSystemXmlApplicationContext и встраивает специально разработанное выражение SpEL вместо атрибута «init-method» для достижения тех же результатов и даже получения обратного шелла (Revers Shell).
Другими словами, хакеры могли бы избежать записи своих инструментов на диск. Они могли бы просто написать свой шифровальщик на Nashorn (или загрузить класс JAR в память) и остаться в памяти. Однако такое действие вызывает сообщение об исключении в файле activemq.log, что требует от злоумышленников также предпринять шаги по уничтожению следов.
В VulnCheck сказали, что теперь, когда злоумышленники могут выполнять скрытые атаки, используя CVE-2023-46604, становится еще более важным обновить серверы ActiveMQ и, в идеале, полностью закрыть доступ к ним из Интернета.
Компания VulnCheck продемонстрировала новую технику эксплуатации критической уязвимости в Apache ActiveMQ, позволяющую выполнять произвольный код в памяти. Уязвимость удалённого выполнения кода Для просмотра ссылки Войди
С тех пор уязвимость активно эксплуатируется группами вымогателей для развертывания Для просмотра ссылки Войди
В атаках используется ClassPathXmlApplicationContext, класс, являющийся частью фреймворка Spring и доступный в ActiveMQ, для загрузки вредоносного XML-файла конфигурации через HTTP и достижения удаленного выполнения кода на сервере в обход аутентификации.
Компания VulnCheck заявила, что ей удалось создать более эффективный эксплоит , который опирается на класс FileSystemXmlApplicationContext и встраивает специально разработанное выражение SpEL вместо атрибута «init-method» для достижения тех же результатов и даже получения обратного шелла (Revers Shell).
Другими словами, хакеры могли бы избежать записи своих инструментов на диск. Они могли бы просто написать свой шифровальщик на Nashorn (или загрузить класс JAR в память) и остаться в памяти. Однако такое действие вызывает сообщение об исключении в файле activemq.log, что требует от злоумышленников также предпринять шаги по уничтожению следов.
В VulnCheck сказали, что теперь, когда злоумышленники могут выполнять скрытые атаки, используя CVE-2023-46604, становится еще более важным обновить серверы ActiveMQ и, в идеале, полностью закрыть доступ к ним из Интернета.
- Источник новости
- www.securitylab.ru
