Агентство з кібербезпеки та захисту інфраструктури США (CISA) оприлюднило попередження про активну експлуатацію вразливості високого рівня небезпеки в Apache ActiveMQ. Ця критична вада безпеки, яка була виявлена та виправлена лише на початку цього місяця, існувала в програмному забезпеченні понад тринадцять років, залишаючись непоміченою для розробників та користувачів. Тепер зловмисники активно використовують її для проведення атак, що створює негайну загрозу для систем, що використовують вразливі версії.
Йдеться про вразливість CVE-2023-46604, яка дозволяє зловмисникам віддалено виконувати довільний код (RCE - Remote Code Execution) на сервері, де працює Apache ActiveMQ. Проблема полягає в некоректній десеріалізації ненадійних даних. Атакуючий може створити спеціально сформований XML-об'єкт, який, будучи обробленим вразливою версією ActiveMQ, призведе до завантаження та виконання шкідливого коду з віддаленого URL. Це може надати зловмиснику повний контроль над скомпрометованою системою, дозволяючи викрадати дані, встановлювати бекдори або використовувати сервер як плацдарм для подальших атак.
- CVE-2023-46604: Вразливість віддаленого виконання коду.
- Тип вразливості: Десеріалізація ненадійних даних.
- Вплив: Повний контроль над скомпрометованим сервером.
- Виправлені версії: Apache ActiveMQ 5.18.3, 5.17.6, 5.16.7 та інші старіші гілки.
Ця вразливість становить пряму загрозу для будь-яких організацій, які використовують Apache ActiveMQ як брокер повідомлень у своїх інформаційних системах. Це включає широкий спектр підприємств, від малого бізнесу до великих корпорацій та державних установ, які покладаються на ActiveMQ для інтеграції додатків, обробки черг повідомлень та інших критично важливих функцій. Оскільки вразливість існувала так довго, існує висока ймовірність того, що багато систем досі працюють на непатчених версіях. Успішна експлуатація може призвести до:
- Витоку конфіденційних даних.
- Повної компрометації серверів та інфраструктури.
- Порушення доступності сервісів.
- Використання скомпрометованих систем для подальших атак на внутрішні та зовнішні ресурси.
З огляду на активну експлуатацію, CISA та експерти з кібербезпеки наполегливо рекомендують негайно вжити наступних заходів:
- Негайне оновлення: Оновіть всі інсталяції Apache ActiveMQ до останніх виправлених версій (5.18.3, 5.17.6, 5.16.7 або новіших). Це є найважливішим кроком для усунення загрози.
- Мережева сегментація: Ізолюйте сервери ActiveMQ в окремих сегментах мережі, обмежуючи доступ до них лише з необхідних джерел.
- Моніторинг: Посильте моніторинг журналів (логів) ActiveMQ та мережевого трафіку на предмет підозрілої активності, особливо спроб завантаження файлів або виконання несанкціонованих команд.
- План реагування на інциденти: Переконайтеся, що у вас є актуальний план реагування на інциденти, який включає кроки для виявлення, локалізації та усунення наслідків компрометації.
- Резервне копіювання: Регулярно створюйте резервні копії критичних даних та конфігурацій.