Les chercheurs en cybersécurité ont démontré une nouvelle technique qui exploite une faille de sécurité critique dans Apache ActiveMQ pour réaliser l’exécution de code arbitraire en mémoire.
Suivi comme CVE-2023-46604 (score CVSS : 10,0), la vulnérabilité est un bug d’exécution de code à distance qui pourrait permettre à un acteur malveillant d’exécuter des commandes shell arbitraires.
Il a été corrigé par Apache dans les versions ActiveMQ 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 publiées à la fin du mois dernier.
La vulnérabilité a depuis été activement exploitée par des groupes de ransomwares pour déployer des ransomwares tels que HelloKitty et une souche qui partage des similitudes avec TellYouThePass ainsi qu’un cheval de Troie d’accès à distance appelé SparkRAT.
Selon nouvelles découvertes de VulnCheck, les acteurs de la menace qui utilisent la faille comme arme sont compter sur une preuve de concept publique (PoC) exploit initialement divulgué le 25 octobre 2023.
Il a été constaté que les attaques utilisaient ClassPathXmlApplicationContextune classe qui fait partie du framework Spring et disponible dans ActiveMQ, pour charger un fichier malveillant Fichier de configuration du bean XML via HTTP et réaliser une exécution de code à distance non authentifié sur le serveur.
VulnCheck, qui a qualifié la méthode de bruyante, a déclaré avoir été capable de concevoir un meilleur exploit reposant sur le FileSystemXmlApplicationContext classe et intègre un spécialement conçu Expression SpEL à la place du « méthode d’initialisation » pour obtenir les mêmes résultats et même obtenir un shell inversé.
« Cela signifie que les auteurs de la menace auraient pu éviter de déposer leurs outils sur le disque », a déclaré VulnCheck. « Ils auraient pu simplement écrire leur chiffreur dans Nashorn (ou charger une classe/JAR en mémoire) et rester résidents en mémoire. »
Cependant, il convient de noter que cela déclenche un message d’exception dans le fichier activemq.log, obligeant les attaquants à prendre également des mesures pour nettoyer la piste médico-légale.
« Maintenant que nous savons que les attaquants peuvent exécuter des attaques furtives en utilisant CVE-2023-46604, il est devenu encore plus important de patcher vos serveurs ActiveMQ et, idéalement, de les supprimer complètement d’Internet », a déclaré Jacob Baines, directeur de la technologie chez VulnCheck.