{"id":1047400,"date":"2023-11-15T15:21:04","date_gmt":"2023-11-15T15:21:04","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-exploit-poc-para-la-falla-de-apache-activemq-podria-permitir-a-los-atacantes-pasar-desapercibidos\/"},"modified":"2023-11-15T15:21:08","modified_gmt":"2023-11-15T15:21:08","slug":"el-nuevo-exploit-poc-para-la-falla-de-apache-activemq-podria-permitir-a-los-atacantes-pasar-desapercibidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-exploit-poc-para-la-falla-de-apache-activemq-podria-permitir-a-los-atacantes-pasar-desapercibidos\/","title":{"rendered":"El nuevo exploit PoC para la falla de Apache ActiveMQ podr\u00eda permitir a los atacantes pasar desapercibidos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ransomware\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han demostrado una nueva t\u00e9cnica que explota una falla de seguridad cr\u00edtica en Apache ActiveMQ para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario en la memoria.<\/p>\n

Seguimiento como CVE-2023-46604<\/strong><\/a> (Puntuaci\u00f3n CVSS: 10.0), la vulnerabilidad es un error de ejecuci\u00f3n remota de c\u00f3digo que podr\u00eda permitir a un actor de amenazas ejecutar comandos de shell arbitrarios.<\/p>\n

Apache lo parch\u00f3 en las versiones ActiveMQ 5.15.16, 5.16.7, 5.17.6 o 5.18.3 lanzadas a fines del mes pasado.<\/p>\n

\"La<\/a><\/center><\/div>\n

Desde entonces, la vulnerabilidad ha sido objeto de explotaci\u00f3n activa por parte de equipos de ransomware para implementar ransomware como HelloKitty y una cepa que comparte similitudes con TellYouThePass, as\u00ed como con un troyano de acceso remoto llamado SparkRAT.<\/p>\n

De acuerdo a nuevos hallazgos<\/a> de VulnCheck, los actores de amenazas que utilizan la falla como arma son confiando<\/a> en una prueba de concepto p\u00fablica (prueba de concepto<\/a>) exploit divulgado originalmente el 25 de octubre de 2023.<\/p>\n

Se ha descubierto que los ataques utilizan ClassPathXmlApplicationContext<\/a>una clase que forma parte del marco Spring y est\u00e1 disponible dentro de ActiveMQ, para cargar un archivo malicioso. Archivo de configuraci\u00f3n de frijol XML<\/a> a trav\u00e9s de HTTP y lograr la ejecuci\u00f3n remota de c\u00f3digo no autenticado en el servidor.<\/p>\n

\"La<\/a><\/center><\/div>\n

VulnCheck, que caracteriz\u00f3 el m\u00e9todo como ruidoso, dijo que fue capaz de dise\u00f1ar un exploit mejor que se basa en el FileSystemXmlApplicationContext<\/a> clase e incorpora un dise\u00f1o especialmente dise\u00f1ado Expresi\u00f3n SpEL<\/a> en lugar del “m\u00e9todo-init<\/a>“atributo para lograr los mismos resultados e incluso obtener un shell inverso.<\/p>\n

“Eso significa que los actores de amenazas podr\u00edan haber evitado dejar sus herramientas en el disco”, dijo VulnCheck. “Podr\u00edan simplemente haber escrito su cifrado en Nashorn (o cargar una clase\/JAR en la memoria) y permanecer residentes en la memoria”.<\/p>\n

Sin embargo, vale la pena se\u00f1alar que al hacerlo se activa un mensaje de excepci\u00f3n en el archivo activemq.log, lo que requiere que los atacantes tambi\u00e9n tomen medidas para limpiar el rastro forense.<\/p>\n

“Ahora que sabemos que los atacantes pueden ejecutar ataques sigilosos utilizando CVE-2023-46604, se vuelve a\u00fan m\u00e1s importante parchear sus servidores ActiveMQ e, idealmente, eliminarlos por completo de Internet”, dijo Jacob Baines, director de tecnolog\u00eda de VulnCheck.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n