{"id":1017835,"date":"2023-11-15T13:42:45","date_gmt":"2023-11-15T15:42:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-nouvel-exploit-poc-pour-la-faille-apache-activemq-pourrait-laisser-les-attaquants-passer-inapercus\/"},"modified":"2023-11-15T13:42:50","modified_gmt":"2023-11-15T15:42:50","slug":"un-nouvel-exploit-poc-pour-la-faille-apache-activemq-pourrait-laisser-les-attaquants-passer-inapercus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-nouvel-exploit-poc-pour-la-faille-apache-activemq-pourrait-laisser-les-attaquants-passer-inapercus\/","title":{"rendered":"Un nouvel exploit PoC pour la faille Apache ActiveMQ pourrait laisser les attaquants passer inaper\u00e7us"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Ransomware \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Un-nouvel-exploit-PoC-pour-la-faille-Apache-ActiveMQ-pourrait.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9montr\u00e9 une nouvelle technique qui exploite une faille de s\u00e9curit\u00e9 critique dans Apache ActiveMQ pour r\u00e9aliser l&#8217;ex\u00e9cution de code arbitraire en m\u00e9moire.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-46604\" target=\"_blank\"><strong>CVE-2023-46604<\/strong><\/a>  (score CVSS : 10,0), la vuln\u00e9rabilit\u00e9 est un bug d&#8217;ex\u00e9cution de code \u00e0 distance qui pourrait permettre \u00e0 un acteur malveillant d&#8217;ex\u00e9cuter des commandes shell arbitraires.<\/p>\n<p>Il a \u00e9t\u00e9 corrig\u00e9 par Apache dans les versions ActiveMQ 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 publi\u00e9es \u00e0 la fin du mois dernier.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La vuln\u00e9rabilit\u00e9 a depuis \u00e9t\u00e9 activement exploit\u00e9e par des groupes de ransomwares pour d\u00e9ployer des ransomwares tels que HelloKitty et une souche qui partage des similitudes avec TellYouThePass ainsi qu&#8217;un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 SparkRAT.<\/p>\n<p>Selon <a rel=\"nofollow noopener\" href=\"https:\/\/vulncheck.com\/blog\/cve-2023-44604-activemq-in-memory\" target=\"_blank\">nouvelles d\u00e9couvertes<\/a> de VulnCheck, les acteurs de la menace qui utilisent la faille comme arme sont <a rel=\"nofollow noopener\" href=\"https:\/\/attackerkb.com\/topics\/IHsgZDE3tS\/cve-2023-46604\/rapid7-analysis\" target=\"_blank\">compter<\/a> sur une preuve de concept publique (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/X1r0z\/ActiveMQ-RCE\" target=\"_blank\">PoC<\/a>) exploit initialement divulgu\u00e9 le 25 octobre 2023.<\/p>\n<p>Il a \u00e9t\u00e9 constat\u00e9 que les attaques utilisaient <a rel=\"nofollow noopener\" href=\"https:\/\/docs.spring.io\/spring-framework\/docs\/current\/javadoc-api\/org\/springframework\/context\/support\/ClassPathXmlApplicationContext.html\" target=\"_blank\">ClassPathXmlApplicationContext<\/a>une classe qui fait partie du framework Spring et disponible dans ActiveMQ, pour charger un fichier malveillant <a rel=\"nofollow noopener\" href=\"https:\/\/docs.spring.io\/spring-framework\/docs\/4.2.x\/spring-framework-reference\/html\/xsd-configuration.html\" target=\"_blank\">Fichier de configuration du bean XML<\/a> via HTTP et r\u00e9aliser une ex\u00e9cution de code \u00e0 distance non authentifi\u00e9 sur le serveur.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>VulnCheck, qui a qualifi\u00e9 la m\u00e9thode de bruyante, a d\u00e9clar\u00e9 avoir \u00e9t\u00e9 capable de concevoir un meilleur exploit reposant sur le <a rel=\"nofollow noopener\" href=\"https:\/\/docs.spring.io\/spring-framework\/docs\/current\/javadoc-api\/org\/springframework\/context\/support\/FileSystemXmlApplicationContext.html\" target=\"_blank\">FileSystemXmlApplicationContext<\/a> classe et int\u00e8gre un sp\u00e9cialement con\u00e7u <a rel=\"nofollow noopener\" href=\"https:\/\/docs.spring.io\/spring-framework\/docs\/3.0.x\/reference\/expressions.html\" target=\"_blank\">Expression SpEL<\/a> \u00e0 la place du &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.baeldung.com\/running-setup-logic-on-startup-in-spring\" target=\"_blank\">m\u00e9thode d&#8217;initialisation<\/a>&#8221; pour obtenir les m\u00eames r\u00e9sultats et m\u00eame obtenir un shell invers\u00e9.<\/p>\n<p>&#8220;Cela signifie que les auteurs de la menace auraient pu \u00e9viter de d\u00e9poser leurs outils sur le disque&#8221;, a d\u00e9clar\u00e9 VulnCheck.  &#8220;Ils auraient pu simplement \u00e9crire leur chiffreur dans Nashorn (ou charger une classe\/JAR en m\u00e9moire) et rester r\u00e9sidents en m\u00e9moire.&#8221;<\/p>\n<p>Cependant, il convient de noter que cela d\u00e9clenche un message d&#8217;exception dans le fichier activemq.log, obligeant les attaquants \u00e0 prendre \u00e9galement des mesures pour nettoyer la piste m\u00e9dico-l\u00e9gale.<\/p>\n<p>&#8220;Maintenant que nous savons que les attaquants peuvent ex\u00e9cuter des attaques furtives en utilisant CVE-2023-46604, il est devenu encore plus important de patcher vos serveurs ActiveMQ et, id\u00e9alement, de les supprimer compl\u00e8tement d&#8217;Internet&#8221;, a d\u00e9clar\u00e9 Jacob Baines, directeur de la technologie chez VulnCheck.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/new-poc-exploit-for-apache-activemq.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 novembre 2023\ue804R\u00e9dactionRansomware \/ Vuln\u00e9rabilit\u00e9 Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9montr\u00e9 une nouvelle technique qui exploite une faille de s\u00e9curit\u00e9 critique dans Apache ActiveMQ pour r\u00e9aliser l&#8217;ex\u00e9cution de code arbitraire en m\u00e9moire. Suivi comme CVE-2023-46604 (score CVSS : 10,0), la vuln\u00e9rabilit\u00e9 est un bug d&#8217;ex\u00e9cution de code \u00e0 distance qui pourrait permettre \u00e0 un acteur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1017836,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[212515,200292,43333,11865,4168,4165,4161,200267,3010,9048,114161,4159,4171,2257,65,200271,200268,716,200269,200270,1627,54039,185,2102,128318,4172,4169,4166,4164],"class_list":["post-1017835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-activemq","tag-actualites-sur-la-cybersecurite","tag-apache","tag-attaquants","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-exploit","tag-faille","tag-inapercus","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-laisser","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvel","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-passer","tag-poc","tag-pour","tag-pourrait","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1017835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1017835"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1017835\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1017836"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1017835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1017835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1017835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}