3,000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online
2023/11/01 BleepingComputer — インターネットに公開されている、3,000台以上の Apache ActiveMQ サーバ上に、深刻なリモート・コード実行 (RCE) が存在することが、先日に公表された。Apache ActiveMQ は、クライアント/サーバ間の通信を促進する、スケーラブルなオープンソースのメッセージ・ブローカーであり、Java などのクロス・ランゲージ型のクライアントおよび、AMQP/MQTT/OpenWire/STOMP などの多様なプロトコルをサポートしている。
このプロジェクトでは、セキュアかつ多彩な認証/認可メカニズムがサポートされるため、ダイレクトな接続を回避するエンタープライズ・システムにおいて、広範に利用されている。
この脆弱性 CVE-2023-46604 (CVSS:10.0) の悪用に成功した攻撃者は、OpenWire プロトコルのシリアライズされたクラスを介して、任意のシェル・コマンドの実行を可能にする。
2023年10月27日の Apache による開示には、以下の Apache Active MQ/Legacy OpenWire モジュール・バージョンに影響を及ぼすと記されている:
- 5.18.x versions before 5.18.3
- 5.17.x versions before 5.17.6
- 5.16.x versions before 5.16.7
- All versions before 5.15.16
アップグレード推奨対象である、バージョン 5.18.3/5.17.6/5.15.16/5.16.7 がリリースされたが、それと同日に、修正プログラムも提供されている。
数千台のサーバにパッチが未適用
脅威監視サービス ShadowServer の研究者たちは、ActiveMQ サービスにアクセス可能な 7,249台のサーバを発見した。
そのうちの 3,329台がが、脆弱性 CVE-2023-4660 が存在している ActiveMQ を実行しており、これらのサーバの全てが、リモート・コード実行にいたることが判明した。
脆弱性のあるインスタンスの大半 (1,400 台) は中国にある。それに続くのが、米国の 530台と、ドイツの 153台であり、インド/オランダ/ロシア/フランス/韓国には、それぞれ 100台のサーバが存在するという。
企業環境におけるメッセージ・ブローカーとしての役割を、Apache ActiveMQ が果たしているという現実を考えると、脆弱性 CVE-2023-46604 の悪用により発生する可能性があるのは、メッセージ傍受/ワークフロー中断/データ窃取/ネットワーク内での横移動などとなる。
この脆弱性 CVE-2023-46604 を悪用するための、技術的な詳細が公開されているため、セキュリティ更新プログラムの適用は一刻を争うものと考えてほしい。
この Apache ActiveMQ は、さまざまな局面で利用されているのですね。また、緩和策として、簡単に遮断/隔離できるものでもなさそうです。ご利用のチームは、とにかく可能性な限り早急に、パッチ適用を行ってください。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.