- Actualités
- >cybersécurité
Une faille critique d’Apache ActiveMQ exploitée pour exécuter du code arbitraire en mémoire
- , Publié le 15 novembre 2023
- , à19 h 20 min
Des chercheurs en cybersécurité ont mis en évidence une nouvelle technique qui exploite une faille de sécurité critique dans Apache ActiveMQ pour réaliser une exécution de code arbitraire en mémoire.
Répertoriée sous le nom de CVE-2023-46604 (score CVSS : 10.0), la vulnérabilité est un bogue d’exécution de code à distance qui pourrait permettre à un acteur de la menace d’exécuter des commandes shell arbitraires. Elle a été corrigée par Apache dans les versions 5.15.16, 5.16.7, 5.17.6, ou 5.18.3 d’ActiveMQ publiées à la fin du mois dernier.
Depuis, la vulnérabilité est activement exploitée par des organisations de ransomware pour déployer des ransomwares tels que HelloKitty et une souche qui partage des similitudes avec TellYouThePass, ainsi qu’un cheval de Troie d’accès à distance appelé SparkRAT. Selon les nouvelles conclusions de VulnCheck, les acteurs de la menace qui exploitent la faille s’appuient sur un exploit de preuve de concept (PoC) public divulgué à l’origine le 25 octobre 2023.
Les attaques utilisent ClassPathXmlApplicationContext, une classe qui fait partie du cadre Spring et qui est disponible dans ActiveMQ, pour charger un fichier de configuration XML malveillant via HTTP et réaliser une exécution de code à distance non authentifiée sur le serveur. VulnCheck, qui a qualifié la méthode de bruyante, a déclaré qu’il était en mesure de concevoir un meilleur exploit qui repose sur la classe FileSystemXmlApplicationContext et intègre une expression SpEL spécialement élaborée à la place de l’attribut « init-method » pour obtenir les mêmes résultats et même un shell inversé. « Cela signifie que les acteurs de la menace auraient pu éviter de déposer leurs outils sur le disque », a déclaré VulnCheck. « Ils auraient pu simplement écrire leur crypteur dans Nashorn (ou charger une classe/JAR dans la mémoire) et rester résidents de la mémoire. »
Toutefois, il convient de noter que cette opération déclenche un message d’exception dans le fichier activemq.log, ce qui oblige les auteurs de l’attaque à prendre des mesures pour nettoyer la trace légale. Maintenant que nous savons que les auteurs de l’attaque peuvent exécuter des attaques furtives à l’aide de CVE-2023-46604, il est encore plus important de patcher vos serveurs ActiveMQ et, idéalement, de les retirer complètement d’Internet », a déclaré Jacob Baines, directeur de la technologie chez VulnCheck.
