Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.04.29(月)

Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report)

2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
(イメージ画像)
(イメージ画像) 全 1 枚 拡大写真
◆概要
 2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、Apache ActiveMQ サーバの実行権限で侵入されてしまいます。アクセス制御やソフトウェアのアップデートにより対策しましょう。

◆分析者コメント
 脆弱性は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)に接続可能な任意の利用者が悪用可能なものです。ソフトウェアの性質上、インターネット上に公開して用いられるものではありませんが、その他の手法により組織内ネットワークへの侵入に成功した攻撃者が、侵入範囲の拡大に悪用する可能性があります。ネットワーク制御の見直しによる軽減策や、ソフトウェアアップデートによる根本的な対策を実施しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-46604&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
以下のバージョンの Apache ActiveMQ が当該脆弱性の影響を受けます。

* Apache ActiveMQ バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ バージョン 5.15.16 未満のバージョン 5.15 系
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.8.0 以上 5.15.16 未満

◆解説
 様々なプロトコルによるメッセージの送受信を中継するサーバソフトウェアである Apache ActiveMQ に、データの検証不備に起因する任意のコード実行の脆弱性が報告されています。

 脆弱性は、OpenWire プロトコルメッセージを処理する関数の、入力値の検証不備に起因するものです。脆弱性が存在する Apache ActiveMQ では、入力値の XML ファイルの検証が不十分であるため、プロセスを起動する命令が定義された XML ファイルをそのまま解釈して処理してしまいます。攻撃者は当該脆弱性を悪用して、対象ホストに悪意のある XML ファイルを読み込ませて、遠隔から Apache ActiveMQ の実行権限で任意のコマンドが実行可能です。

◆対策
 ソフトウェアのバージョンをアップデートすることにより対策してください。アップデートが困難である場合は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)へのアクセス元を制御することで、脆弱性を悪用される可能性を低減できます。

◆関連情報
[1] Apache ActiveMQ 公式
  https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
[2] AttackerKB
  https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46604
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46604
----------------------------------------------------------------------
◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。

  GitHub - SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
  https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  2. 日本酒定期購入サービス「KURAND CLUB」へ不正アクセス、カード情報23件流出(リカー・イノベーション)

    日本酒定期購入サービス「KURAND CLUB」へ不正アクセス、カード情報23件流出(リカー・イノベーション)

  3. 富士通「Smart City 5G」等ソースコード流出か/長江メモリがエンティティリスト入り/検索エンジン悪用攻撃 FBI 警告 ほか [Scan PREMIUM Monthly Executive Summary 2022年12月度]

    富士通「Smart City 5G」等ソースコード流出か/長江メモリがエンティティリスト入り/検索エンジン悪用攻撃 FBI 警告 ほか [Scan PREMIUM Monthly Executive Summary 2022年12月度]

  4. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  5. 三重県立津工業高等学校で、生徒の個人情報を記録したPCが盗難

    三重県立津工業高等学校で、生徒の個人情報を記録したPCが盗難

ランキングをもっと見る
PageTop