Neuer PoC-Exploit für Apache ActiveMQ-Schwachstelle ermöglicht Angreifern unauffällige Attacken

Cybersicherheitsforscher haben eine neue Technik demonstriert, die eine kritische Sicherheitslücke in Apache ActiveMQ ausnutzt, um eine willkürliche Codeausführung im Speicher zu erreichen.

Die Schwachstelle, die unter der Kennung CVE-2023-46604 (CVSS-Bewertung: 10.0) verfolgt wird, ist eine Remote-Code-Ausführungsanfälligkeit, die es einem Angreifer ermöglichen könnte, beliebige Shell-Befehle auszuführen.

Apache hat diesen Fehler in den Versionen 5.15.16, 5.16.7, 5.17.6 oder 5.18.3 von ActiveMQ, die Ende letzten Monats veröffentlicht wurden, behoben.

Seitdem wird die Schwachstelle aktiv von Ransomware-Gruppen ausgenutzt, um Ransomware wie HelloKitty und eine Variante, die Ähnlichkeiten mit TellYouThePass aufweist, sowie einen Remote Access Trojaner namens SparkRAT zu verbreiten.

Neue Erkenntnisse von VulnCheck zeigen, dass die Angreifer, die die Schwachstelle ausnutzen, auf einen öffentlichen Proof-of-Concept (PoC)-Exploit zurückgreifen, der ursprünglich am 25. Oktober 2023 veröffentlicht wurde.

Die Angriffe nutzen ClassPathXmlApplicationContext, eine Klasse des Spring Frameworks, die in ActiveMQ verfügbar ist, um eine bösartige XML-Bean-Konfigurationsdatei über HTTP zu laden und eine nicht authentifizierte Remote-Code-Ausführung auf dem Server zu erreichen.

VulnCheck hat jedoch eine verbesserte Methode entwickelt, die auf der Klasse FileSystemXmlApplicationContext basiert und einen speziell gestalteten SpEL-Ausdruck anstelle des „init-method“-Attributs verwendet, um dasselbe Ergebnis zu erzielen und sogar eine Reverse-Shell zu erhalten.

„Das bedeutet, dass die Angreifer ihre Tools nicht auf die Festplatte schreiben mussten“, so VulnCheck. „Sie hätten einfach ihren Verschlüsseler in Nashorn schreiben können (oder eine Klasse/JAR in den Speicher laden) und wären im Speicher verblieben.“

Allerdings löst dies eine Ausnahmemeldung in der activemq.log-Datei aus, sodass die Angreifer auch Maßnahmen ergreifen müssen, um Spuren zu beseitigen.

„Jetzt, da wir wissen, dass Angreifer mit CVE-2023-46604 unauffällige Angriffe durchführen können, ist es umso wichtiger, Ihre ActiveMQ-Server zu patchen und idealerweise ganz vom Internet zu trennen“, sagte Jacob Baines, Chief Technology Officer bei VulnCheck.