New PoC Exploit for Apache ActiveMQ Flaw Could Let Attackers Fly Under the Radar
2023/11/15 TheHackerNews — Apache ActiveMQ の深刻なセキュリティ上の脆弱性を悪用し、メモリ上で任意のコードを実行する新しいテクニックを、サイバー・セキュリティ研究者が実証した。このリモートコード実行の脆弱性 CVE-2023-46604 (CVSS:10.0) の悪用に成功した脅威アクターは、任意のシェルコマンドを実行できるという。なお、この Apache の脆弱性は、先月末にリリースされた ActiveMQ のバージョン 5.15.16/5.16.7/5.17.6/5.18.3 で修正されている。
この脆弱性は、HelloKitty/TellYouThePass に類似するランサムウェア SparkRATと呼ばれるリモートアクセス型トロイの木馬などのランサムウェアを展開するために、ランサムウェア業者によって積極的に悪用されている。
その後、この脆弱性は HelloKitty などのランサムウェアを展開する組織により、積極的に悪用されるようになった。もう1の悪用グループは、TellYouThePass/SparkRAT などの RAT (Remote Access Trojan) と類似点を共有する亜種である。
VulnCheck の最新の調査結果によると、この脆弱性を悪用する脅威アクターたちは、2023年10月25日に公開された PoC エクスプロイトに依存しているという。
Spring フレームワークの一部であり、ActiveMQ 内で利用可能なクラスである ClassPathXmlApplicationContext を悪用する攻撃は、HTTP 経由で悪意の XML Bean 設定ファイルをロードし、サーバ上で認証されていな脅威アクターに、リモート・コードの実行を許すものだと判明している。
VulnCheck によると、このメソッドはノイジーなものであり、FileSystemXmlApplicationContextクラスに依存し、”init-method” 属性の代わりに特別に細工された SpEL 式を埋め込むことで、同じ結果を達成する。その一方で、さリバースシェルを取得するという、優れたエクスプロイトのデザインになっているという。
VulnCheck は、「つまり、この脅威アクターは、ツールをディスクに落とすことなく侵害できたということだ。彼らは、Nashorn に暗号化ツールを書き込むか、class/JAR をメモリにロードするだけで、ツールをメモリに常駐させることが可能だった」と述べている。
しかし、そうすることで “activemq.log” ファイルに例外メッセージが表示されるため、フォレンジック痕跡を消去する手段を、攻撃者は講じる必要があることに注目すべきだ。
VulnCheck の CTO である Jacob Baines は、「攻撃者が脆弱性 CVE-2023-46604 を悪用してステルス攻撃を実行できることが分かった。したがって、ActiveMQ サーバにパッチを適用し、理想的にはインターネットから完全に削除することが、さらに重要になっている」と述べている。
ディスクへのダウンロードを必要としない、ステルス性のマルウェアは怖いですね。ActiveMQ のクラスを悪用して、この種のマルウェアが展開されるというシナリオの、どの段階で検出ができるのかというと、とても難しいという結論にいたるのでしょう。唯一のポイントは、”activemq.log” ファイルの例外メッセージだけなのでしょうか?
IoT OT Security News 
You must be logged in to post a comment.