Üç binden fazla internete maruz kalan Apache ActiveMQ sunucusu, yakın zamanda açıklanan kritik uzaktan kumanda (RCE) güvenlik açığına karşı savunmasızdır.
Apache ActiveMQ, istemciler ve sunucular arasında iletişimi teşvik eden, Java'yı ve çeşitli çapraz dil istemcilerini ve AMQP, MQTT, OpenWire ve Stomp dahil olmak üzere birçok protokolü destekleyen ölçeklenebilir bir açık kaynaklı mesaj aracısıdır.
Projenin çeşitli güvenli kimlik doğrulama ve yetkilendirme mekanizmaları için desteği sayesinde, sistemlerin doğrudan bağlantı olmadan iletişim kurduğu kurumsal ortamlarda yaygın olarak kullanılmaktadır.
Söz konusu kusur, saldırganların OpenWire protokolündeki serileştirilmiş sınıf türlerinden yararlanarak keyfi kabuk komutlarını yürütmesine izin veren kritik bir şiddet (CVSS V3 skoru: 10.0) olan CVE-2023-46604'tür.
Apache'nin 27 Ekim 2023'teki açıklamasına göre, sorun aşağıdaki Apache Active MQ ve Legacy OpenWire modül sürümlerini etkiliyor:
Düzeltmeler, önerilen yükseltme hedefleri olan 5.15.16, 5.16.7, 5.17.6 ve 5.18.3 sürümlerinin yayınlanmasıyla aynı gün sunuldu.
Tehdit izleme hizmetinden araştırmacılar Shadowserver, ActiveMQ hizmetleriyle erişilebilir 7.249 sunucuyu buldular.
Bunlardan 3.329'unun CVE-2023-46604'e karşı savunmasız bir Activemq versiyonu çalıştırdığı bulunmuştur ve tüm bu sunucular uzaktan kod yürütülmesine karşı savunmasızdır.
Savunmasız örneklerin (1.400) çoğu Çin'de bulunmaktadır. Amerika Birleşik Devletleri 530 ile ikinci, Almanya 153 ile üçüncü sırada yer alırken, Hindistan, Hollanda, Rusya, Fransa ve Güney Kore her biri 100 açık sunucuya sahip.
Apache Activemq'in kurumsal ortamlarda bir mesaj brokeri olarak yerine getirdiği rol göz önüne alındığında, CVE-2023-46604'ün sömürülmesi, mesaj müdahalesi, iş akışı kesintisi, veri hırsızlığı ve hatta ağdaki yanal hareketle sonuçlanabilir.
CVE-2023-46604'ten yararlanmaya ilişkin teknik ayrıntılar kamuya açık olduğundan, güvenlik güncellemelerinin uygulanması zamana duyarlı olarak düşünülmelidir.
Hellokitty fidye yazılımı artık saldırılarda apache ActiveMq kusurunu kullanıyor
F5, uzaktan kod yürütme saldırılarına izin vererek Big-Ip Auth Bypass'ı düzeltir
Solarwinds Access Denetim Çözümü'nde bulunan kritik RCE kusurları
Sıfır günlük RCE saldırılarına maruz kalan milyonlarca exim posta sunucusu
Yasalaşmamış RCE kusuruna karşı savunmasız binlerce ardıç cihazı
Kaynak: Bleeping Computer