Yejie@Threatbook.Cn

**Nome do Software Vulnerável e Versões Afetadas** Apache ActiveMQ versões anteriores a 5.15.16 Apache ActiveMQ versões 5.16.x até 5.16.6 Apache ActiveMQ versões 5.17.x até 5.17.5 Apache ActiveMQ versões 5.18.x até 5.18.2 Bamboo Data Center (versões afetadas não especificadas) Bamboo Server (versões afetadas não especificadas) Delta Electronics InfraSuite Device Master (versões afetadas não especificadas) **Description** O marshaller do protocolo Java OpenWire é suscetível à execução remota de código devido à desserialização de dados não confiáveis. Um invasor remoto com acesso à rede de um broker ou cliente OpenWire baseado em Java pode executar comandos de shell arbitrários manipulando tipos de classes serializadas no protocolo OpenWire, forçando a aplicação a instanciar qualquer classe no classpath. A exploração técnica envolve o uso de um comando OpenWire maliciosamente elaborado e a utilização de classes Java Spring, como `ClassPathXmlApplicationContext` ou `FileSystemXmlApplicationContext`, para carregar arquivos de configuração XML maliciosos via HTTP ou incorporar expressões SpEL no atributo `init-method` para alcançar a execução em memória. Aproximadamente 3.000 servidores em todo o mundo, principalmente na China, EUA e Rússia, foram identificados como vulneráveis. Incidentes reais incluem ataques de atores de ameaças como Andariel e a implantação de ransomware LockBit, HelloKitty e TellYouThePass, bem como SparkRAT e Cobalt Strike. Em um caso, invasores usaram o `certutil.exe` para implantar um stager do Metasploit e, posteriormente, utilizaram RDP e o LOLBIN `SystemSettingsAdminFlows.exe` para desativar o Windows Defender e criptografar o ambiente. **Recommendations** Atualizar para a versão 5.15.16, 5.16.7, 5.17.6 ou 5.18.3. Atualizar o Bamboo Data Center e Server para as versões 9.2.7, 9.3.5, 9.4.1 ou posteriores. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade no Delta Electronics InfraSuite Device Master.