● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Apache ActiveMQ Jolokia 代码执行漏洞 |
||
|
漏洞编号 |
QVD-2023-45523,CVE-2022-41678 |
||
|
公开时间 |
2023-11-28 |
影响对象数量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
7.2 |
|
威胁类型 |
代码执行 |
利用可能性 |
中 |
|
POC状态 |
已公开 |
在野利用状态 |
未发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
已公开 |
|
利用条件:需要认证并且可以访问ActiveMQ WEB后台管理端口(默认为8161)。 |
|||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
影响组件
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。
漏洞描述
近日,奇安信CERT监测到 Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678),在ActiveMQ中,经过身份验证的远程攻击者下可通过/api/jolokia/接口操作MBean,成功利用此漏洞可导致远程代码执行。
鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
影响版本
Apache ActiveMQ < 5.16.6
5.17.0< Apache ActiveMQ < 5.17.4
不受影响版本
Apache ActiveMQ >= 5.17.4
Apache ActiveMQ >= 5.16.6
Apache ActiveMQ >= 6.0.0
Apache ActiveMQ >= 5.18.0
其他受影响组件
无
目前,奇安信CERT已成功复现Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678),截图如下:
安全更新
官方已推出安全更新,受影响用户可升级到以下版本:
缓解措施
-
修改默认口令;
-
可参考以下链接限制Jolokia 上授权后的操作:
https://github.com/apache/activemq/pull/958/files
-
若非必要,禁用Jolokia;
-
对公不可访问,仅对可信地址开放。
产品解决方案
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:3181,建议用户尽快升级检测规则库至2311292000以上。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache ActiveMQ Jolokia 认证后远程代码执行漏洞(CVE-2022-41678)的防护。
Snort 检测方案
Snort是一个开源的入侵检测系统,使用规则来检测网络流量中的恶意行为。用户可参考以下Snort检测规则,进行Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)的检测:
alert tcp any any -> any any (msg:" Apache ActiveMQ Jolokia 认证后RCE(CVE-2022-41678)"; flow:to_server,established; content:"POST"; http_method; content:"/api/jolokia"; http_uri; pcre:"/setConfiguration|setConfigText/"; sid:1000001; rev:1;)
[1]https://github.com/advisories/GHSA-53v4-42fg-g287
[2]http://www.openwall.com/lists/oss-security/2023/11/28/1
2023年11月29日,奇安信 CERT发布安全风险通告。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。
原文始发于微信公众号(奇安信 CERT):【已复现】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论