Seleccionar página

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 20 – Vulnerabilidad de ejecución remota de código en Apache ActiveMQ

Introducción

Apache ActiveMQ, un destacado broker de mensajes y servidor de patrones de integración de código abierto, facilita la comunicación entre diversas aplicaciones o sistemas utilizando la API Java Message Service (JMS). Recientemente ha sido objeto de escrutinio debido a una vulnerabilidad crítica que radica en el manejo inadecuado de datos en el puerto de servicio 61616 durante las instalaciones por defecto, abriendo una puerta para potenciales ataques de ejecución remota de código.

Vulnerabilidad

La vulnerabilidad CVE-2023-46604 de Apache ActiveMQ se deriva de un fallo en el filtrado adecuado de los datos entrantes en el puerto de servicio 61616. En las configuraciones por defecto, este puerto carece de mecanismos de validación adecuados, lo que permite a los atacantes crear paquetes de datos maliciosos con la intención de ejecutar código arbitrario en el sistema objetivo. Las vulnerabilidades de ejecución remota de código son especialmente peligrosas, ya que conceden acceso y control no autorizados sobre el sistema afectado, permitiendo a los atacantes ejecutar comandos, filtrar datos confidenciales o incluso comprometer toda la infraestructura.

Los atacantes que aprovechan esta vulnerabilidad podrían enviar paquetes de datos especialmente diseñados al puerto 61616, aprovechando la ausencia de un filtrado adecuado. Una vez recibida, la carga maliciosa podría ejecutarse en el entorno ActiveMQ, provocando accesos no autorizados, fugas de datos o incluso el compromiso total del sistema. Las ramificaciones de un exploit de este tipo van más allá de la mera inconveniencia, planteando graves amenazas a la confidencialidad, integridad y disponibilidad de los sistemas afectados.

Versión afectada

5.18.0 <= Apache ActiveMQ < 5.18.3

5.17.0 <= Apache ActiveMQ < 5.17.6

5.16.0 <= Apache ActiveMQ < 5.16.7

Apache ActiveMQ < 5.15.16

Solución

Solución oficial: Para solucionar esta vulnerabilidad crítica, se recomienda a los usuarios actualizar a las versiones 5.15.16, 5.16.7, 5.17.6 o 5.18.3, que corrigen este problema. Visite:

https://activemq.apache.org/components/classic/download/

Implementación de la corrección

Actualice su base de datos de firmas IPS a la versión 3.0.180 y su base de datos de firmas AV a la versión 2.1.530 para asegurarse de que el Sistema de Prevención de Intrusiones de Hillstone Networks (NIPS) y el Sistema de Detección de Brechas de Hillstone (BDS) están equipados para detectar y proporcionar protección contra esta vulnerabilidad.

La inteligencia hotspot de esta vulnerabilidad está disponible en Hillstone Networks iSource también.

Figura 1. Hillstone Networks NIPS detecta y protege a los usuarios de esta vulnerabilidad