Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.03.03(日)

Apache ActiveMQ における遠隔からの任意のコード実行につながるシリアライズデータが操作可能となる脆弱性(Scan Tech Report)

2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。

脆弱性と脅威
(イメージ画像)
◆概要
 2023 年 10 月に、Apache ActiveMQ にて遠隔コード実行につながる脆弱性に対するエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、Apache ActiveMQ サーバの実行権限で侵入されてしまいます。アクセス制御やソフトウェアのアップデートにより対策しましょう。

◆分析者コメント
 脆弱性は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)に接続可能な任意の利用者が悪用可能なものです。ソフトウェアの性質上、インターネット上に公開して用いられるものではありませんが、その他の手法により組織内ネットワークへの侵入に成功した攻撃者が、侵入範囲の拡大に悪用する可能性があります。ネットワーク制御の見直しによる軽減策や、ソフトウェアアップデートによる根本的な対策を実施しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-46604&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
以下のバージョンの Apache ActiveMQ が当該脆弱性の影響を受けます。

* Apache ActiveMQ バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ バージョン 5.15.16 未満のバージョン 5.15 系
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.18.0 以上 5.18.3 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.17.0 以上 5.17.6 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.16.0 以上 5.16.7 未満
* Apache ActiveMQ Legacy OpenWire Module バージョン 5.8.0 以上 5.15.16 未満

◆解説
 様々なプロトコルによるメッセージの送受信を中継するサーバソフトウェアである Apache ActiveMQ に、データの検証不備に起因する任意のコード実行の脆弱性が報告されています。

 脆弱性は、OpenWire プロトコルメッセージを処理する関数の、入力値の検証不備に起因するものです。脆弱性が存在する Apache ActiveMQ では、入力値の XML ファイルの検証が不十分であるため、プロセスを起動する命令が定義された XML ファイルをそのまま解釈して処理してしまいます。攻撃者は当該脆弱性を悪用して、対象ホストに悪意のある XML ファイルを読み込ませて、遠隔から Apache ActiveMQ の実行権限で任意のコマンドが実行可能です。

◆対策
 ソフトウェアのバージョンをアップデートすることにより対策してください。アップデートが困難である場合は、Apache ActiveMQ サーバの OpenWire プロトコルが使用する TCP ポート(デフォルトでは 61616/tcp)へのアクセス元を制御することで、脆弱性を悪用される可能性を低減できます。

◆関連情報
[1] Apache ActiveMQ 公式
  https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
[2] AttackerKB
  https://attackerkb.com/topics/IHsgZDE3tS/cve-2023-46604/rapid7-analysis
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46604
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46604
----------------------------------------------------------------------
◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。

  GitHub - SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ
  https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 「読売新聞オンライン」の偽サイトに注意を呼びかけ、SNSや複数サイトで広告を確認

    「読売新聞オンライン」の偽サイトに注意を呼びかけ、SNSや複数サイトで広告を確認

  2. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  3. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

    「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  4. エレコム製無線 LAN ルータに複数の脆弱性

  5. 同性異性問わず接触「mixi」でのオンライン詐欺に注意呼びかけ

  6. 24 年目むかえたタイガーチームサービス、GSX が夢見る「脆弱性診断内製化支援 全国展開」の野望

  7. CLUB Panasonic を騙る不審メールに注意を呼びかけ、「ETC利用照会サービス」や「dカード利用停止のお知らせ」など

  8. レバノン首都国際空港にハッキング/米国証券取引委員会の X アカウント乗っ取り/SharePoint 脆弱性悪用 ほか [Scan PREMIUM Monthly Executive Summary 2024年1月度]

  9. 法務省 文科省 デジタル庁 警視庁、偽サイト続々

  10. 「ウイルスバスター」に、マルウェアの検出を回避される脆弱性(JVN)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×