Investigadores de ciberseguridad han demostrado una nueva técnica que explota una falla de seguridad crítica en Apache ActiveMQ para lograr la ejecución de código arbitrario en la memoria.
Registrada como CVE-2023-46604 (puntuación CVSS: 10.0), la vulnerabilidad es un error de ejecución remota de código que podría permitir a un actor de amenazas ejecutar comandos de shell arbitrarios.
Apache lo parchó en las versiones ActiveMQ 5.15.16, 5.16.7, 5.17.6 o 5.18.3 lanzadas a fines del mes pasado.
Desde entonces, la vulnerabilidad ha sido objeto de explotación activa por parte de equipos de ransomware para implementar ransomware como HelloKitty y una cepa que comparte similitudes con TellYouThePass, así como con un troyano de acceso remoto llamado SparkRAT.
Según nuevos hallazgos de VulnCheck, los actores de amenazas que utilizan la falla como arma se basan en un exploit de prueba de concepto ( PoC ) público revelado originalmente el 25 de octubre de 2023.
Se ha descubierto que los ataques utilizan ClassPathXmlApplicationContext , una clase que forma parte del marco Spring y está disponible dentro de ActiveMQ, para cargar un archivo de configuración de bean XML malicioso a través de HTTP y lograr la ejecución remota de código no autenticado en el servidor.
VulnCheck, que caracterizó el método como ruidoso, dijo que fue capaz de diseñar un mejor exploit que se basa en la clase FileSystemXmlApplicationContext e incorpora una expresión SpEL especialmente diseñada en lugar del atributo » init-method » para lograr los mismos resultados e incluso obtener un caparazón inverso.
«Eso significa que los actores de amenazas podrían haber evitado dejar sus herramientas en el disco», dijo VulnCheck. «Podrían simplemente haber escrito su cifrado en Nashorn (o cargar una clase/JAR en la memoria) y permanecer residentes en la memoria».
Sin embargo, vale la pena señalar que al hacerlo se activa un mensaje de excepción en el archivo activemq.log, lo que requiere que los atacantes también tomen medidas para limpiar el rastro forense.
«Ahora que sabemos que los atacantes pueden ejecutar ataques sigilosos utilizando CVE-2023-46604, se vuelve aún más importante parchear sus servidores ActiveMQ e, idealmente, eliminarlos por completo de Internet», dijo Jacob Baines, director de tecnología de VulnCheck.
Fuente y redacción: thehackernews.com
