Новости Компания VulnCheck создала эксплоит для легкого взлома Apache ActiveMQ

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Теперь стало намного проще взломать и захватить контроль над сервером.


zty16aqo2jxpdwsdb4yzi0yr2cw0737c.jpg


Компания VulnCheck продемонстрировала новую технику эксплуатации критической уязвимости в Apache ActiveMQ, позволяющую выполнять произвольный код в памяти. Уязвимость удалённого выполнения кода Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 10.0) позволяет злоумышленнику запускать произвольные команды оболочки. Apache Для просмотра ссылки Войди или Зарегистрируйся ошибку в версиях ActiveMQ 5.15.16, 5.16.7, 5.17.6 и 5.18.3.

С тех пор уязвимость активно эксплуатируется группами вымогателей для развертывания Для просмотра ссылки Войди или Зарегистрируйся , вируса, схожего с TellYouThePass, и трояна удаленного доступа Для просмотра ссылки Войди или Зарегистрируйся . По данным VulnCheck, киберпреступники, эксплуатирующие уязвимость, опираются на общедоступный Для просмотра ссылки Войди или Зарегистрируйся (Proof-of-Concept, PoC ), который был впервые обнародован в конце октября.

В атаках используется ClassPathXmlApplicationContext, класс, являющийся частью фреймворка Spring и доступный в ActiveMQ, для загрузки вредоносного XML-файла конфигурации через HTTP и достижения удаленного выполнения кода на сервере в обход аутентификации.

Компания VulnCheck заявила, что ей удалось создать более эффективный эксплоит , который опирается на класс FileSystemXmlApplicationContext и встраивает специально разработанное выражение SpEL вместо атрибута «init-method» для достижения тех же результатов и даже получения обратного шелла (Revers Shell).

Другими словами, хакеры могли бы избежать записи своих инструментов на диск. Они могли бы просто написать свой шифровальщик на Nashorn (или загрузить класс JAR в память) и остаться в памяти. Однако такое действие вызывает сообщение об исключении в файле activemq.log, что требует от злоумышленников также предпринять шаги по уничтожению следов.

В VulnCheck сказали, что теперь, когда злоумышленники могут выполнять скрытые атаки, используя CVE-2023-46604, становится еще более важным обновить серверы ActiveMQ и, в идеале, полностью закрыть доступ к ним из Интернета.
 
Источник новости
www.securitylab.ru

Похожие темы