◆概要
2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、Apache ActiveMQ サーバの実行権限で侵入されてしまいます。アクセス制御やソフトウェアのアップデートにより対策しましょう。
◆分析者コメント
脆弱性は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)に接続可能な任意の利用者が悪用可能なものです。ソフトウェアの性質上、インターネット上に公開して用いられるものではありませんが、その他の手法により組織内ネットワークへの侵入に成功した攻撃者が、侵入範囲の拡大に悪用する可能性があります。ネットワーク制御の見直しによる軽減策や、ソフトウェアアップデートによる根本的な対策を実施しましょう。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-46604&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
以下のバージョンの Apache ActiveMQ が当該脆弱性の影響を受けます。
* Apache ActiveMQ バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ バージョン 5.15.16 未満のバージョン 5.15 系
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.8.0 以上 5.15.16 未満
◆解説
様々なプロトコルによるメッセージの送受信を中継するサーバソフトウェアである Apache ActiveMQ に、データの検証不備に起因する任意のコード実行の脆弱性が報告されています。
脆弱性は、OpenWire プロトコルメッセージを処理する関数の、入力値の検証不備に起因するものです。脆弱性が存在する Apache ActiveMQ では、入力値の XML ファイルの検証が不十分であるため、プロセスを起動する命令が定義された XML ファイルをそのまま解釈して処理してしまいます。攻撃者は当該脆弱性を悪用して、対象ホストに悪意のある XML ファイルを読み込ませて、遠隔から Apache ActiveMQ の実行権限で任意のコマンドが実行可能です。
◆対策
ソフトウェアのバージョンをアップデートすることにより対策してください。アップデートが困難である場合は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)へのアクセス元を制御することで、脆弱性を悪用される可能性を低減できます。
◆関連情報
[1] Apache ActiveMQ 公式
https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
[2] AttackerKB
https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46604
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46604
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。
GitHub - SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
//-- で始まる行は執筆者によるコメントです。
2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、Apache ActiveMQ サーバの実行権限で侵入されてしまいます。アクセス制御やソフトウェアのアップデートにより対策しましょう。
◆分析者コメント
脆弱性は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)に接続可能な任意の利用者が悪用可能なものです。ソフトウェアの性質上、インターネット上に公開して用いられるものではありませんが、その他の手法により組織内ネットワークへの侵入に成功した攻撃者が、侵入範囲の拡大に悪用する可能性があります。ネットワーク制御の見直しによる軽減策や、ソフトウェアアップデートによる根本的な対策を実施しましょう。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-46604&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
以下のバージョンの Apache ActiveMQ が当該脆弱性の影響を受けます。
* Apache ActiveMQ バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ バージョン 5.15.16 未満のバージョン 5.15 系
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.8.0 以上 5.15.16 未満
◆解説
様々なプロトコルによるメッセージの送受信を中継するサーバソフトウェアである Apache ActiveMQ に、データの検証不備に起因する任意のコード実行の脆弱性が報告されています。
脆弱性は、OpenWire プロトコルメッセージを処理する関数の、入力値の検証不備に起因するものです。脆弱性が存在する Apache ActiveMQ では、入力値の XML ファイルの検証が不十分であるため、プロセスを起動する命令が定義された XML ファイルをそのまま解釈して処理してしまいます。攻撃者は当該脆弱性を悪用して、対象ホストに悪意のある XML ファイルを読み込ませて、遠隔から Apache ActiveMQ の実行権限で任意のコマンドが実行可能です。
◆対策
ソフトウェアのバージョンをアップデートすることにより対策してください。アップデートが困難である場合は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)へのアクセス元を制御することで、脆弱性を悪用される可能性を低減できます。
◆関連情報
[1] Apache ActiveMQ 公式
https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
[2] AttackerKB
https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46604
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46604
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。
GitHub - SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
//-- で始まる行は執筆者によるコメントです。
