ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。
近期,长亭科技监测到ActiveMQ发布新版本修复了一个远程命令执行漏洞,长亭在获得该漏洞情报完成处置后,已于第一时间(10月19日)通知客户做好防护,官方已于今日正式发布新版本修复,强烈建议相关客户更新至新版本。
为了方便用户排查受影响的资产,根据漏洞原理编写了XPoC远程检测工具(本周内跟随新版本发布)和牧云本地检测工具,向公众开放下载使用。
Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行。
牧云本地检测工具
检测方法:
在本地主机上执行以下命令即可扫描:
./activemq_broker_rce_ct_855664_scanner_linux_amd64
工具获取方式:
https://stack.chaitin.com/tool/detail/1248
<ActiveMQ 5.18.3 <ActiveMQ 5.17.6
临时缓解方案
通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
升级修复方案
官方已经推出了新的修复版本。建议所有受影响的用户尽快访问官方网站,更新版本至5.17.6或5.18.3及以上[1]。
云图: 默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
洞鉴: 引擎版本 6.14.0 版本支持该漏洞的PoC原理检测。
全悉: 已发布规则升级包,支持该漏洞利用行为的检测。
牧云: 使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包(EMERVULN-23.10.025)“漏洞应急”功能支持该漏洞的检测;其它管理平台版本请联系牧云技术支持团队获取该功能。
8月30日 长亭应急响应实验室漏洞分析与复现
10月18日 发现在野利用
10月19日 全线产品支持
10月25日 漏洞被公开披露
10月25 日 长亭安全应急响应中心发布通告
参考资料:
[1].https://github.com/apache/activemq/tags
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707
原文始发于微信公众号(长亭安全应急响应中心):在野利用|Apache ActiveMQ远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论