漏洞概述 | |||
漏洞名称 | Apache ActiveMQ Jolokia 代码执行漏洞 | ||
漏洞编号 | QVD-2023-45523,CVE-2022-41678 | ||
公开时间 | 2023-11-28 | 影响对象数量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 7.2 |
威胁类型 | 代码执行 | 利用可能性 | 中 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 已公开 |
利用条件:需要认证并且可以访问ActiveMQ WEB后台管理端口(默认为8161)。 |
01 漏洞详情
影响组件
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。
漏洞描述
近日,奇安信CERT监测到Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678),在ActiveMQ中,经过身份验证的远程攻击者下可通过/api/jolokia/接口操作MBean,成功利用此漏洞可导致远程代码执行。
鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
Apache ActiveMQ < 5.16.6
5.17.0< Apache ActiveMQ < 5.17.4
不受影响版本
Apache ActiveMQ >= 5.17.4
Apache ActiveMQ >= 5.16.6
Apache ActiveMQ >= 6.0.0
Apache ActiveMQ >= 5.18.0
其他受影响组件
无
03 复现情况
目前,奇安信CERT已成功复现Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678),截图如下:
04 处置建议
安全更新
官方已推出安全更新,受影响用户可升级到以下版本:
Apache ActiveMQ >= 5.17.4
Apache ActiveMQ >= 5.16.6
缓解措施
修改默认口令;
可参考以下链接限制Jolokia 上授权后的操作:
https://github.com/apache/activemq/pull/958/files
若非必要,禁用Jolokia;
对公不可访问,仅对可信地址开放。
Snort 检测方案
Snort是一个开源的入侵检测系统,使用规则来检测网络流量中的恶意行为。用户可参考以下Snort检测规则,进行Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)的检测:
alert tcp any any -> any any (msg:" Apache ActiveMQ Jolokia 认证后RCE(CVE-2022-41678)"; flow:to_server,established; content:"POST"; http_method; content:"/api/jolokia"; http_uri; pcre:"/setConfiguration|setConfigText/"; sid:1000001; rev:1;)
05 参考资料
[1]https://github.com/advisories/GHSA-53v4-42fg-g287
[2]http://www.openwall.com/lists/oss-security/2023/11/28/1
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。