CVE-2023-46604

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ versões anteriores a 5.15.16 Apache ActiveMQ versões 5.16.x até 5.16.6 Apache ActiveMQ versões 5.17.x até 5.17.5 Apache ActiveMQ versões 5.18.x até 5.18.2 Bamboo Data Center (versões afetadas não especificadas) Bamboo Server (versões afetadas não especificadas) Delta Electronics InfraSuite Device Master (versões afetadas não especificadas)

Description O marshaller do protocolo Java OpenWire é suscetível à execução remota de código devido à desserialização de dados não confiáveis. Um invasor remoto com acesso à rede de um broker ou cliente OpenWire baseado em Java pode executar comandos de shell arbitrários manipulando tipos de classes serializadas no protocolo OpenWire, forçando a aplicação a instanciar qualquer classe no classpath. A exploração técnica envolve o uso de um comando OpenWire maliciosamente elaborado e a utilização de classes Java Spring, como ClassPathXmlApplicationContext ou FileSystemXmlApplicationContext, para carregar arquivos de configuração XML maliciosos via HTTP ou incorporar expressões SpEL no atributo init-method para alcançar a execução em memória.

Aproximadamente 3.000 servidores em todo o mundo, principalmente na China, EUA e Rússia, foram identificados como vulneráveis. Incidentes reais incluem ataques de atores de ameaças como Andariel e a implantação de ransomware LockBit, HelloKitty e TellYouThePass, bem como SparkRAT e Cobalt Strike. Em um caso, invasores usaram o certutil.exe para implantar um stager do Metasploit e, posteriormente, utilizaram RDP e o LOLBIN SystemSettingsAdminFlows.exe para desativar o Windows Defender e criptografar o ambiente.

Recommendations Atualizar para a versão 5.15.16, 5.16.7, 5.17.6 ou 5.18.3. Atualizar o Bamboo Data Center e Server para as versões 9.2.7, 9.3.5, 9.4.1 ou posteriores. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade no Delta Electronics InfraSuite Device Master.