Исследователи кибербезопасности продемонстрировали новую технику, которая использует критическую уязвимость безопасности в Apache ActiveMQ для выполнения произвольного кода в памяти.
Уязвимость, отслеживаемая как CVE-2023-46604 (оценка CVSS: 10.0), представляет собой ошибку удаленного выполнения кода, которая может позволить субъекту угрозы запускать произвольные команды оболочки.
Он был исправлен Apache в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 или 5.18.3, выпущенных в конце прошлого месяца.
С тех пор уязвимость стала активно использоваться программами-вымогателями для развертывания таких программ-вымогателей, как HelloKitty и штамм, имеющий сходство с TellYouThePass, а также троянца удаленного доступа под названием SparkRAT.
Согласно новым выводам VulnCheck, злоумышленники, использующие уязвимость, полагаются на эксплойт публичного подтверждения концепции (PoC), первоначально раскрытый 25 октября 2023 года.
Было обнаружено, что атаки используют ClassPathXmlApplicationContext, класс, являющийся частью Spring Framework и доступный в ActiveMQ, для загрузки вредоносного файла конфигурации XML-компонента по протоколу HTTP и обеспечения удаленного выполнения кода на сервере без проверки подлинности.
VulnCheck, который охарактеризовал метод как зашумленный, сказал, что смог разработать лучший эксплойт, который опирается на класс FileSystemXmlApplicationContext и встраивает специально созданное выражение SpEL вместо атрибута "init-method" для достижения тех же результатов и даже получения обратной оболочки.
"Это означает, что участники угрозы могли избежать удаления своих инструментов на диск", - сказал Вулнчек. "Они могли просто написать свой шифровальщик в Nashorn (или загрузить класс / JAR в память) и остаться резидентными в памяти".
Однако стоит отметить, что это приводит к появлению сообщения об исключении в файле activemq.log, что требует, чтобы злоумышленники также предприняли шаги по очистке криминалистического следа.
"Теперь, когда мы знаем, что злоумышленники могут выполнять скрытые атаки, используя CVE-2023-46604, становится еще более важным исправить ваши серверы ActiveMQ и, в идеале, полностью удалить их из Интернета", - сказал Джейкоб Бейнс, технический директор VulnCheck.
Уязвимость, отслеживаемая как CVE-2023-46604 (оценка CVSS: 10.0), представляет собой ошибку удаленного выполнения кода, которая может позволить субъекту угрозы запускать произвольные команды оболочки.
Он был исправлен Apache в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 или 5.18.3, выпущенных в конце прошлого месяца.
С тех пор уязвимость стала активно использоваться программами-вымогателями для развертывания таких программ-вымогателей, как HelloKitty и штамм, имеющий сходство с TellYouThePass, а также троянца удаленного доступа под названием SparkRAT.
Согласно новым выводам VulnCheck, злоумышленники, использующие уязвимость, полагаются на эксплойт публичного подтверждения концепции (PoC), первоначально раскрытый 25 октября 2023 года.
Было обнаружено, что атаки используют ClassPathXmlApplicationContext, класс, являющийся частью Spring Framework и доступный в ActiveMQ, для загрузки вредоносного файла конфигурации XML-компонента по протоколу HTTP и обеспечения удаленного выполнения кода на сервере без проверки подлинности.
VulnCheck, который охарактеризовал метод как зашумленный, сказал, что смог разработать лучший эксплойт, который опирается на класс FileSystemXmlApplicationContext и встраивает специально созданное выражение SpEL вместо атрибута "init-method" для достижения тех же результатов и даже получения обратной оболочки.
"Это означает, что участники угрозы могли избежать удаления своих инструментов на диск", - сказал Вулнчек. "Они могли просто написать свой шифровальщик в Nashorn (или загрузить класс / JAR в память) и остаться резидентными в памяти".
Однако стоит отметить, что это приводит к появлению сообщения об исключении в файле activemq.log, что требует, чтобы злоумышленники также предприняли шаги по очистке криминалистического следа.
"Теперь, когда мы знаем, что злоумышленники могут выполнять скрытые атаки, используя CVE-2023-46604, становится еще более важным исправить ваши серверы ActiveMQ и, в идеале, полностью удалить их из Интернета", - сказал Джейкоб Бейнс, технический директор VulnCheck.
