Serangan RCE pada Server Apache ActiveMQ
By SumedangKab-CSIRT in Vulnerabilities
.
Apache ActiveMQ adalah perangkat lunak open source yang menyediakan layanan pesan antrean (message queueing) untuk aplikasi yang membutuhkan komunikasi asinkron. ActiveMQ mendukung berbagai protokol dan bahasa pemrograman, serta fitur keamanan, ketersediaan, dan skalabilitas. Namun, ActiveMQ juga memiliki beberapa kerentanan yang dapat dieksploitasi oleh penyerang yang berpengalaman.
.
Pada akhir Oktober 2023, Apache Software Foundation merilis versi 5.17.0 dari ActiveMQ yang memperbaiki kerentanan kritis RCE dengan kode CVE-2023-46604. Kerentanan ini memungkinkan penyerang untuk memanipulasi jenis class yang diserialisasi dalam protokol OpenWire untuk menyebabkan broker untuk menginstansiasi class apa pun di classpath.
.
Peneliti dari layanan pemantauan ancaman ShadowServer menemukan 7.249 server yang dapat diakses dengan layanan ActiveMQ. Dari jumlah tersebut, 3.329 ditemukan menjalankan versi ActiveMQ yang rentan terhadap CVE-2023-46604, dengan semua server ini rentan terhadap eksekusi kode jarak jauh. Sebagian besar instansi yang rentan (1.400) berlokasi di China.
Peneliti dari layanan pemantauan ancaman ShadowServer menemukan 7.249 server yang dapat diakses dengan layanan ActiveMQ. Dari jumlah tersebut, 3.329 ditemukan menjalankan versi ActiveMQ yang rentan terhadap CVE-2023-46604, dengan semua server ini rentan terhadap eksekusi kode jarak jauh. Sebagian besar instansi yang rentan (1.400) berlokasi di China.
.
Mengingat Apache ActiveMQ berperan sebagai broker pesan dalam lingkungan perusahaan, mengeksploitasi CVE-2023-46604 dapat menyebabkan penyadapan pesan, gangguan alur kerja, pencurian data, bahkan pergerakan lateral di jaringan. Karena detail teknis untuk mengeksploitasi CVE-2023-46604 sudah terbuka, maka menerapkan pembaruan keamanan harus dianggap sebagai hal yang sensitif waktu.
Mengingat Apache ActiveMQ berperan sebagai broker pesan dalam lingkungan perusahaan, mengeksploitasi CVE-2023-46604 dapat menyebabkan penyadapan pesan, gangguan alur kerja, pencurian data, bahkan pergerakan lateral di jaringan. Karena detail teknis untuk mengeksploitasi CVE-2023-46604 sudah terbuka, maka menerapkan pembaruan keamanan harus dianggap sebagai hal yang sensitif waktu.
.
Salah satu contoh serangan yang memanfaatkan kerentanan ini adalah ransomware HelloKitty, yang diketahui menargetkan server ActiveMQ yang rentan untuk menyebarkan infeksi. Ransomware ini sebelumnya juga terlibat dalam serangan terhadap perusahaan game CD Projekt Red dan perusahaan energi Brazil Copel.
Salah satu contoh serangan yang memanfaatkan kerentanan ini adalah ransomware HelloKitty, yang diketahui menargetkan server ActiveMQ yang rentan untuk menyebarkan infeksi. Ransomware ini sebelumnya juga terlibat dalam serangan terhadap perusahaan game CD Projekt Red dan perusahaan energi Brazil Copel.
Untuk melindungi server ActiveMQ dari serangan RCE, pengguna disarankan untuk segera memperbarui ke versi 5.17.0 atau yang lebih baru. Selain itu, pengguna juga harus membatasi akses jaringan ke server ActiveMQ dan hanya mengizinkan koneksi dari host yang tepercaya.
sumber
gambar
