【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告

admin
admin
admin
102755
文章
87
评论
2023年10月27日00:26:23评论156 views字数 2020阅读6分44秒阅读模式

● 点击↑蓝字关注我们,获取更多安全风险通告


漏洞概述

漏洞名称

Apache ActiveMQ 远程代码执行漏洞

漏洞编号

QVD-2023-30790、CNVD-2023-69477

公开时间

2023-10-25

影响对象数量级

万级

奇安信评级

高危

CVSS 3.1分数

9.8

威胁类型

代码执行

利用可能性

POC状态

未公开

在野利用状态

已发现

EXP状态

未公开

技术细节状态

已公开

利用条件:可访问OpenWire消息传输协议TCP端口(默认为61616)。


(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)


01
漏洞详情
>>>>

影响组件

ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。


>>>>

漏洞描述

近日,奇安信CERT监测到Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)技术细节在互联网上公开,Apache ActiveMQ 中存在远程代码执行漏洞,具有 Apache ActiveMQ 服务器TCP端口(默认为61616)访问权限的远程攻击者可以通过发送恶意数据到服务器从而执行任意代码。


鉴于此漏洞利用简单,产品用量较大,并已存在在野利用,建议客户尽快做好自查及防护。



02
影响范围
>>>>

影响版本

Apache ActiveMQ < 5.18.3

Apache ActiveMQ < 5.17.6

Apache ActiveMQ < 5.16.7

Apache ActiveMQ < 5.15.16 



>>>>

其他受影响组件



03
复现情况

目前,奇安信CERT已成功复现Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790),截图如下:

【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告



04
受影响资产情况

奇安信鹰图资产测绘平台数据显示,Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)关联的国内风险资产总数为21794个,关联IP总数为5407个。国内风险资产分布情况如下:

【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告


Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)关联的全球风险资产总数为28082个,关联IP总数为8144个。全球风险资产分布情况如下:

【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告


05
处置建议
>>>>

安全更新

目前官方已通过限制反序列化类只能为Throwable的子类的方式来修复此漏洞。建议受影响用户可以更新到:

Apache ActiveMQ >= 5.18.3

Apache ActiveMQ >= 5.17.6
Apache ActiveMQ >= 5.16.7
Apache ActiveMQ >= 5.15.16

https://github.com/apache/activemq/tags


>>>>

产品解决方案

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击,请将插件版本和指纹版本升级到20231024163720以上版本。规则名称:Apache ActiveMQ QVD-2023-30790 远程代码执行漏洞。奇安信自动化渗透测试系统规则升级方法:系统管理->升级管理->插件升级(指纹升级),选择“网络升级”或“本地升级”。


奇安信开源卫士已支持

奇安信开源卫士20231026. 424版本已支持对Apache ActiveMQ 远程代码执行漏洞

(QVD-2023-30790)的检测。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:52564,建议用户尽快升级检测规则库至2310252330以上。


奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.1026.14083或以上版本。规则ID及规则名称:0x6030,Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



06
参考资料

[1]https://github.com/apache/activemq/compare/activemq-5.18.2...activemq-5.18.3

[2]https://github.com/apache/activemq/tags



07
时间线

2023年10月25日,奇安信 CERT发布安全风险通告。



08
漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:

【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告


【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告


【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告
奇安信 CERT
致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

















点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。

原文始发于微信公众号(奇安信 CERT):【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月27日00:26:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告https://cn-sec.com/archives/2148800.html

发表评论

匿名网友 填写信息