Üç binden fazla internete açık Apache ActiveMQ sunucusu, yakın zamanda açıklanan kritik uzaktan kod yürütme (RCE) güvenlik açığına karşı savunmasızdır.
Apache ActiveMQ, istemciler ve sunucular arasındaki iletişimi güçlendiren, Java’yı ve çeşitli diller arası istemcileri ve AMQP, MQTT, OpenWire ve STOMP dahil olmak üzere birçok protokolü destekleyen, ölçeklenebilir bir açık kaynaklı mesaj aracısıdır.
Projenin çeşitli güvenli kimlik doğrulama ve yetkilendirme mekanizmalarına verdiği destek sayesinde, sistemlerin doğrudan bağlantı olmadan iletişim kurduğu kurumsal ortamlarda yaygın olarak kullanılıyor.
Söz konusu kusur, saldırganların OpenWire protokolündeki serileştirilmiş sınıf türlerinden yararlanarak isteğe bağlı kabuk komutları yürütmesine olanak tanıyan kritik öneme sahip (CVSS v3 puanı: 10.0) bir RCE olan CVE-2023-46604’tür.
Apache’nin 27 Ekim 2023 tarihli açıklamasına göre sorun, aşağıdaki Apache Active MQ ve Legacy OpenWire Module sürümlerini etkiliyor:
- 5.18.3’ten önceki 5.18.x sürümleri
- 5.17.6’dan önceki 5.17.x sürümleri
- 5.16.7’den önceki 5.16.x sürümleri
- 5.15.16’dan önceki tüm sürümler
Sürümlerin yayınlanmasıyla aynı gün düzeltmeler kullanıma sunuldu 5.15.16, 5.16.7, 5.17.6Ve 5.18.3önerilen yükseltme hedefleridir.
Binlerce sunucu yamasız
Tehdit izleme hizmeti ShadowServer’dan araştırmacılar, ActiveMQ hizmetleriyle erişilebilen 7.249 sunucu buldu.
Bunlardan 3.329’unun CVE-2023-4660’a karşı savunmasız bir ActiveMQ sürümünü çalıştırdığı ve bu sunucuların tümünün uzaktan kod yürütmeye karşı savunmasız olduğu tespit edildi.
Savunmasız örneklerin çoğu (1.400) Çin’de bulunuyor. Amerika Birleşik Devletleri 530 sunucuyla ikinci, Almanya 153 sunucuyla üçüncü sırada yer alırken, Hindistan, Hollanda, Rusya, Fransa ve Güney Kore’nin her birinde 100’er açık sunucu bulunuyor.
Apache ActiveMQ’nun kurumsal ortamlarda mesaj komisyoncusu olarak yerine getirdiği rol göz önüne alındığında, CVE-2023-46604’ün kötüye kullanılması mesajların ele geçirilmesine, iş akışının bozulmasına, veri hırsızlığına ve hatta ağda yanal harekete neden olabilir.
CVE-2023-46604’ten yararlanmaya ilişkin teknik ayrıntılar kamuya açık olduğundan, güvenlik güncellemelerinin uygulanmasının zamana duyarlı olduğu düşünülmelidir.