检测遏制CVE-2023-46604漏洞利用活动

使用SHC-Update漏洞数据订阅分析工具提取CVE-2023-46604漏洞公开信息，快速了解一下CVE-2023-46604漏洞，产品名称Apache ActiveMQ是Apache软件基金会所研发的开放源码消息中间件，下方是CVE-2023-46604漏洞影响版本。

影响版本[  "Apache ActiveMQ 5.18.3",  "Apache ActiveMQ 5.17.6",  "Apache ActiveMQ 5.16.7",  "Apache ActiveMQ 5.15.16",  "Apache ActiveMQ Legacy OpenWire Module 5.18.3",  "Apache ActiveMQ Legacy OpenWire Module 5.17.6",  "Apache ActiveMQ Legacy OpenWire Module 5.16.7",  "Apache ActiveMQ Legacy OpenWire Module 5.15.16"]

漏洞简要分析Apache ActiveMQ存在远程代码执行漏洞。该漏洞允许远程攻击者通过61616端口操纵OpenWire协议中序列化的类来运行任意shell命令。

漏洞创建时间:2023-10-25 19:22:57漏洞披露时间:2023-10-27 15:15:14漏洞修改时间:2023-11-02 9:04:23

安装部署复杂之眼EDR，并搭建好关于Apache ActiveMQ受影响版本的环境。

大致利用过程是搭建一个web服务上挂载命令执行代码，通过向61616端口发送OpenWire协议中序列化的类来下载执行任意shell命令。

可以看到靶机下载了命令执行代码，威胁行为者对真实目标渗透前提需要了解目标环境信息才能针对性去部署命令执行代码，否则会触发漏洞但达不到利用条件。

通过复杂之眼EDR看到触发了告警，上面是CVE-2023-46604漏洞利用活动分析图，尝试了执行ping命令去dnslog失败了，尝试反弹shell失败了但是漏洞是触发了。

使用事件猎手提取分析IOA攻击指标，这是搭建的模拟环境，真实业务生厂环境，复杂之眼EDR开启主动防御威胁行为者执行的命令会攻击无效化。

原文始发于微信公众号（我的安全梦）：检测遏制CVE-2023-46604漏洞利用活动