CVE-2023-4660

Более 3000 доступных в Интернете серверов Apache ActiveMQ уязвимы к недавно обнаруженной критической RCE-уязвимости.

Apache ActiveMQ — это масштабируемый брокер сообщений с открытым исходным кодом, поддерживает Java и различные межъязыковые клиенты, а также множество протоколов, включая AMQP, MQTT, OpenWire и STOMP.

Благодаря поддержке разнообразного набора безопасных механизмов аутентификации и авторизации, он широко используется в корпоративных средах, где системы обмениваются данными без прямого подключения.

Обнаруженная CVE-2023-46604 имеет оценку CVSS v3: 10,0 и позволяет злоумышленникам выполнять произвольные команды оболочки, используя сериализованные типы классов в протоколе OpenWire.

Согласно уведомлению Apache от 27 октября, проблема затрагивает Apache Active MQ и Legacy OpenWire Module версии 5.18.x до 5.18.3, 5.17.x до 5.17.6, 5.16.x до 5.16.7 и все версии до 5.15.16.

Исправления были выпущены в тот же день с выпуском версий 5.15.16, 5.16.7, 5.17.6 и 5.18.3.

Но несмотря на это, исследователи из ShadowServer задетектили 7249 доступных серверов с ActiveMQ, из них 3329 используют версию ActiveMQ, уязвимую для CVE-2023-4660, причем все эти серверы уязвимы для RCE.

Большинство уязвимых экземпляров (1400) расположены в Китае, затем следуют США с 530, Германия занимает третье с 153, а Индия, Нидерланды, Россия, Франция и Южная Корея имеют по 100 открытых серверов каждая.

Учитывая роль Apache ActiveMQ в качестве брокера сообщений в корпоративных средах, эксплуатация CVE-2023-46604 может привести к достаточно серьезным последствиям, включая и горизонтальное перемещение в сети.

Поскольку технические подробности использования CVE-2023-46604 общедоступны, применение обновлений безопасности следует рассматривать как безотлагательную и кране срочную меру.