Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.06.19(水)

Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report)

2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
(イメージ画像)
(イメージ画像) 全 1 枚 拡大写真
◆概要
 2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、Apache ActiveMQ サーバの実行権限で侵入されてしまいます。アクセス制御やソフトウェアのアップデートにより対策しましょう。

◆分析者コメント
 脆弱性は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)に接続可能な任意の利用者が悪用可能なものです。ソフトウェアの性質上、インターネット上に公開して用いられるものではありませんが、その他の手法により組織内ネットワークへの侵入に成功した攻撃者が、侵入範囲の拡大に悪用する可能性があります。ネットワーク制御の見直しによる軽減策や、ソフトウェアアップデートによる根本的な対策を実施しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-46604&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
以下のバージョンの Apache ActiveMQ が当該脆弱性の影響を受けます。

* Apache ActiveMQ バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ バージョン 5.15.16 未満のバージョン 5.15 系
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.8.0 以上 5.15.16 未満

◆解説
 様々なプロトコルによるメッセージの送受信を中継するサーバソフトウェアである Apache ActiveMQ に、データの検証不備に起因する任意のコード実行の脆弱性が報告されています。

 脆弱性は、OpenWire プロトコルメッセージを処理する関数の、入力値の検証不備に起因するものです。脆弱性が存在する Apache ActiveMQ では、入力値の XML ファイルの検証が不十分であるため、プロセスを起動する命令が定義された XML ファイルをそのまま解釈して処理してしまいます。攻撃者は当該脆弱性を悪用して、対象ホストに悪意のある XML ファイルを読み込ませて、遠隔から Apache ActiveMQ の実行権限で任意のコマンドが実行可能です。

◆対策
 ソフトウェアのバージョンをアップデートすることにより対策してください。アップデートが困難である場合は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)へのアクセス元を制御することで、脆弱性を悪用される可能性を低減できます。

◆関連情報
[1] Apache ActiveMQ 公式
  https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
[2] AttackerKB
  https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46604
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46604
----------------------------------------------------------------------
◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。

  GitHub - SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
  https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  5. 個人情報保護委員会 令和 5 年(2023)度 年次報告概要公表

    個人情報保護委員会 令和 5 年(2023)度 年次報告概要公表

ランキングをもっと見る
PageTop