Теперь стало намного проще взломать и захватить контроль над сервером.
Компания VulnCheck продемонстрировала новую технику эксплуатации критической уязвимости в Apache ActiveMQ, позволяющую выполнять произвольный код в памяти. Уязвимость удалённого выполнения кода CVE-2023-46604 (CVSS: 10.0) позволяет злоумышленнику запускать произвольные команды оболочки. Apache устранила ошибку в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 и 5.18.3.
С тех пор уязвимость активно эксплуатируется группами вымогателей для развертывания вымогательсктого ПО HelloKitty , вируса, схожего с TellYouThePass, и трояна удаленного доступа SparkRAT . По данным VulnCheck, киберпреступники, эксплуатирующие уязвимость, опираются на общедоступный PoC-эксплоит (Proof-of-Concept, PoC), который был впервые обнародован в конце октября.
В атаках используется ClassPathXmlApplicationContext, класс, являющийся частью фреймворка Spring и доступный в ActiveMQ, для загрузки вредоносного XML-файла конфигурации через HTTP и достижения удаленного выполнения кода на сервере в обход аутентификации.
Компания VulnCheck заявила, что ей удалось создать более эффективный эксплоит, который опирается на класс FileSystemXmlApplicationContext и встраивает специально разработанное выражение SpEL вместо атрибута «init-method» для достижения тех же результатов и даже получения обратного шелла (Reverse Shell).
Другими словами, хакеры могли бы избежать записи своих инструментов на диск. Они могли бы просто написать свой шифровальщик на Nashorn (или загрузить класс JAR в память) и остаться в памяти. Однако такое действие вызывает сообщение об исключении в файле activemq.log, что требует от злоумышленников также предпринять шаги по уничтожению следов.
В VulnCheck сказали, что теперь, когда злоумышленники могут выполнять скрытые атаки, используя CVE-2023-46604, становится еще более важным обновить серверы ActiveMQ и, в идеале, полностью закрыть доступ к ним из Интернета.