Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.06.13(木)

Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report)

2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
(イメージ画像)
(イメージ画像) 全 1 枚 拡大写真
◆概要
 2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、Apache ActiveMQ サーバの実行権限で侵入されてしまいます。アクセス制御やソフトウェアのアップデートにより対策しましょう。

◆分析者コメント
 脆弱性は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)に接続可能な任意の利用者が悪用可能なものです。ソフトウェアの性質上、インターネット上に公開して用いられるものではありませんが、その他の手法により組織内ネットワークへの侵入に成功した攻撃者が、侵入範囲の拡大に悪用する可能性があります。ネットワーク制御の見直しによる軽減策や、ソフトウェアアップデートによる根本的な対策を実施しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-46604&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
以下のバージョンの Apache ActiveMQ が当該脆弱性の影響を受けます。

* Apache ActiveMQ バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ バージョン 5.15.16 未満のバージョン 5.15 系
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.8.0 以上 5.15.16 未満

◆解説
 様々なプロトコルによるメッセージの送受信を中継するサーバソフトウェアである Apache ActiveMQ に、データの検証不備に起因する任意のコード実行の脆弱性が報告されています。

 脆弱性は、OpenWire プロトコルメッセージを処理する関数の、入力値の検証不備に起因するものです。脆弱性が存在する Apache ActiveMQ では、入力値の XML ファイルの検証が不十分であるため、プロセスを起動する命令が定義された XML ファイルをそのまま解釈して処理してしまいます。攻撃者は当該脆弱性を悪用して、対象ホストに悪意のある XML ファイルを読み込ませて、遠隔から Apache ActiveMQ の実行権限で任意のコマンドが実行可能です。

◆対策
 ソフトウェアのバージョンをアップデートすることにより対策してください。アップデートが困難である場合は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)へのアクセス元を制御することで、脆弱性を悪用される可能性を低減できます。

◆関連情報
[1] Apache ActiveMQ 公式
  https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
[2] AttackerKB
  https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46604
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46604
----------------------------------------------------------------------
◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。

  GitHub - SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
  https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  2. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  3. 6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

    6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

  4. NHK放送センターに不正アクセス、従業者等個人情報漏えいの可能性を完全に否定することは難しい

    NHK放送センターに不正アクセス、従業者等個人情報漏えいの可能性を完全に否定することは難しい

  5. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

ランキングをもっと見る
PageTop