Investigadores de ciberseguridad han demostrado una nueva técnica que explota una falla de seguridad crítica en Apache ActiveMQ para lograr la ejecución de código arbitrario en la memoria.
Seguimiento como CVE-2023-46604 (Puntuación CVSS: 10.0), la vulnerabilidad es un error de ejecución remota de código que podría permitir a un actor de amenazas ejecutar comandos de shell arbitrarios.
Apache lo parchó en las versiones ActiveMQ 5.15.16, 5.16.7, 5.17.6 o 5.18.3 lanzadas a fines del mes pasado.
Desde entonces, la vulnerabilidad ha sido objeto de explotación activa por parte de equipos de ransomware para implementar ransomware como HelloKitty y una cepa que comparte similitudes con TellYouThePass, así como con un troyano de acceso remoto llamado SparkRAT.
De acuerdo a nuevos hallazgos de VulnCheck, los actores de amenazas que utilizan la falla como arma son confiando en una prueba de concepto pública (prueba de concepto) exploit divulgado originalmente el 25 de octubre de 2023.
Se ha descubierto que los ataques utilizan ClassPathXmlApplicationContextuna clase que forma parte del marco Spring y está disponible dentro de ActiveMQ, para cargar un archivo malicioso. Archivo de configuración de frijol XML a través de HTTP y lograr la ejecución remota de código no autenticado en el servidor.
VulnCheck, que caracterizó el método como ruidoso, dijo que fue capaz de diseñar un exploit mejor que se basa en el FileSystemXmlApplicationContext clase e incorpora un diseño especialmente diseñado Expresión SpEL en lugar del «método-init«atributo para lograr los mismos resultados e incluso obtener un shell inverso.
«Eso significa que los actores de amenazas podrían haber evitado dejar sus herramientas en el disco», dijo VulnCheck. «Podrían simplemente haber escrito su cifrado en Nashorn (o cargar una clase/JAR en la memoria) y permanecer residentes en la memoria».
Sin embargo, vale la pena señalar que al hacerlo se activa un mensaje de excepción en el archivo activemq.log, lo que requiere que los atacantes también tomen medidas para limpiar el rastro forense.
«Ahora que sabemos que los atacantes pueden ejecutar ataques sigilosos utilizando CVE-2023-46604, se vuelve aún más importante parchear sus servidores ActiveMQ e, idealmente, eliminarlos por completo de Internet», dijo Jacob Baines, director de tecnología de VulnCheck.