Alerte de Sécurité Critique : Vulnérabilité CVE-2023-46604 dans Apache ActiveMQ et Menace de la Godzilla Webshell
1. Nature de la Vulnérabilité :
Il s’agit d’une faille critique dans Apache ActiveMQ, liée à des pratiques de désérialisation non sécurisées dans le protocole OpenWire.
2. Conséquences de l’Exploitation :
Cette vulnérabilité permet aux attaquants d’exécuter des commandes arbitraires sur les systèmes cibles, ouvrant la voie à divers types d’attaques malveillantes, y compris l’installation de logiciels malveillants comme des crypto-mineurs, des rootkits, des rançongiciels et des chevaux de Troie.
3. Découverte par Trustwave :
L’équipe de Trustwave a repéré un fichier JSP suspect sur un serveur client utilisant une version vulnérable d’ActiveMQ.
Ce fichier, caché dans un format binaire non identifié, a la capacité de passer inaperçu par les outils de sécurité standard.
4. Implication de Godzilla Webshell :
Le code malveillant détecté est associé à la web shell open-source Godzilla.
Une fois déployée, cette web shell permet à l’attaquant de contrôler entièrement le système compromis.
5. Versions d’Apache ActiveMQ Affectées :
Plusieurs versions d’ActiveMQ sont touchées par cette vulnérabilité.
La mise à jour vers les versions sécurisées – 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 – est fortement recommandée.
6. Indicateurs de Compromission :
Pour aider à identifier les compromissions, des empreintes MD5 et SHA256 spécifiques ont été publiées, ainsi que les détails de l’en-tête de protocole utilisé par Godzilla Webshell.
Résumé :
En résumé, cette vulnérabilité critique nécessite une attention urgente pour la mise à jour et la sécurisation des systèmes Apache ActiveMQ concernés afin de prévenir les exploitations malveillantes.
ActiveMQ :
Apache ActiveMQ un broker de messages (message broker), ce qui signifie qu’il sert de point central pour l’envoi et la réception de messages entre les différentes applications logicielles.
ActiveMQ permet la communication asynchrone dans les systèmes distribués. Cela signifie que le producteur et le consommateur de messages n’ont pas besoin d’interagir en même temps.
Il prend en charge divers protocoles de messagerie, y compris MQTT, AMQP, STOMP, et OpenWire, ce qui le rend très versatile et compatible avec de nombreuses applications.
ActiveMQ peut être configuré pour la haute disponibilité et supporte la mise à l’échelle horizontale, ce qui est essentiel pour les systèmes critiques de grande taille.
Il est souvent utilisé comme une implémentation de Java Message Service (JMS), qui est une API standard pour les systèmes de messagerie en Java.
ActiveMQ est couramment utilisé dans les environnements d’entreprise pour intégrer différentes applications et services, facilitant ainsi la communication et le transfert de données.
Le billet de blog source https://lnkd.in/emttsYn9