Severity: Critical
Base Score: 10.0
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Mô tả:
CVE-2023-46604 là một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Apache ActiveMQ.

Lỗ hổng này cho phép một kẻ tấn công từ xa với quyền truy cập mạng đến một broker để chạy các lệnh shell tùy ý. Điều này được thực hiện bằng cách thao tác các loại lớp được tuần tự hóa (serialized class types) trong giao thức OpenWire để khiến broker khởi tạo lớp bất kỳ trên classpath và nguyên nhân gốc rễ của lỗ hổng nằm ở việc tái thiết dữ liệu không an toàn (insecure deserialization).

Theo Rapid7 security, CVE-2023-46604 đã được phát hiện đang bị khai thác trong thực tế, kẻ tấn công đang cố gắng cài đặt ransomware trên các hệ thống mục tiêu.

Apache đã phát hành phiên bản sửa lỗi của ActiveMQ hôm 25 tháng 10, 2023. Mã khai thác và chi tiết lỗ hổng cũng đã được công bố.

Các phiên bản bị ảnh hưởng
Apache ActiveMQ từ 5.18.0 tới thấp hơn 5.18.3
Apache ActiveMQ từ 5.17.0 tới thấp hơn 5.17.6
Apache ActiveMQ từ 5.16.0 tới thấp hơn 5.16.7
Apache ActiveMQ thấp hơn 5.15.16
Apache ActiveMQ Legacy OpenWire Module từ 5.18.0 tới thấp hơn 5.18.3
Apache ActiveMQ Legacy OpenWire Module từ 5.17.0 tới thấp hơn 5.17.6
Apache ActiveMQ Legacy OpenWire Module từ 5.16.0 tới thấp hơn 5.16.7
Apache ActiveMQ Legacy OpenWire Module từ 5.8.0 tới thấp hơn 5.15.16

Các phiên bản không bị ảnh hưởng
Apache ActiveMQ các phiên bản sau đã được cập nhật sửa lỗi:

5.15.16
5.16.7
5.17.6
5.18.3

Cách phòng tránh
Các system admin cần nhanh chóng cập nhật Apache ActiveMQ lên một trong các phiên bản đã sửa lỗi ở trên.

Ngoài ra, sysadmin có thể tự kiểm tra dấu hiệu tấn công CVE-2023-46604 bằng cách kiểm tra tồn tại chuỗi “org.apache.activemq.broker.TransportConnection.Transport” trong file log `activemq.log`.

Tham khảo
https://nvd.nist.gov/vuln/detail/CVE-2023-46604
https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604/
https://github.com/X1r0z/ActiveMQ-RCE
https://paper.seebug.org/3058/

CVE-2023-46604 Apache ActiveMQ is vulnerable to Remote Code Execution