This post is also available in: Português
A CVE-2023-46604, também conhecida como Vulnerabilidade de Desserialização de Dados não Confiáveis do Apache ActiveMQ, que foi relatada em novembro de 2023 e recebeu atualização em abril de 2024, ainda representa preocupação no contexto de segurança digital, especialmente para os usuários do protocolo Java OpenWire.
Em 2023 a CISA já havia inserido esta vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas, uma vez que evidencias de exploração ativa foram identificadas. Um dos grupos que estão utilizando ativamente desta vulnerabilidade é o HelloKitty, também conhecido como FiveHands. Trata-se de um grupo especializado em ransomware, que aplica métodos de dupla extorsão para roubar e criptografar dados das vítimas.
Natureza da vulnerabilidade
O protocolo Java OpenWire está vulnerável a Execução Remota de Código. Essa vulnerabilidade pode permitir que um atacante, com acesso à rede, execute comandos de shell arbitrários, manipulando tipos de classe serializados no protocolo OpenWire, para fazer com que o cliente ou o corretor (respectivamente) instancie qualquer classe no classpath.
A exploração bem-sucedida dessa vulnerabilidade pode ter consequências sérias, como a execução de comandos, comprometimento de dados sensíveis e, até mesmo, a instalação de ransomware, como observado pela CISA.
Classificação CVE
CVE-2023-46604
Categoria da vulnerabilidade: Execução de código
Score base: 9.8
Classificação: Crítica
Score de explorabilidade: 3.9
Score de impacto: 5.9
Probabilidade de exploração nos próximos 30 dias: 97,27%
Exploit público: Sim
Vale ressaltar que o EPSS Score desta vulnerabilidade sofreu forte evolução nos últimos meses, sendo sua última atualização no dia 3 de maio, onde tingiu o score de 97,27%.
Mitigação dos riscos
Para mitigar o risco associado a essa vulnerabilidade, é importante que os usuários afetados tomem medidas imediatas.
Versões afetadas:
Apache ActiveMQ 5.18.0 before 5.18.3
– Apache ActiveMQ 5.17.0 before 5.17.6
– Apache ActiveMQ 5.16.0 before 5.16.7
– Apache ActiveMQ before 5.15.16
– Apache ActiveMQ Legacy OpenWire Module 5.18.0 before 5.18.3
– Apache ActiveMQ Legacy OpenWire Module 5.17.0 before 5.17.6
– Apache ActiveMQ Legacy OpenWire Module 5.16.0 before 5.16.7
– Apache ActiveMQ Legacy OpenWire Module 5.8.0 before 5.15.16
Recomenda-se que os corretores e clientes OpenWire sejam atualizados para as versões 5.15.16, 5.16.7, 5.17.6 e 5.18.3, o mais breve possível.
Além disso, é essencial que os administradores de sistemas estejam vigilantes quanto à atividade suspeita em suas redes, especialmente nos próximos 30 dias, período em que a probabilidade de atividade de exploração é estimada em 97,27%. Vale reforçar que existe exploit público da vulnerabilidade publicado desde novembro de 2023, o que torna a ameaça ainda mais acessível para agentes mal-intencionados.
Medidas adicionais de segurança, como a aplicação de filtros de rede e a monitorização ativa de logs, podem ser adotadas para ajudar a mitigar o risco de exploração, enquanto as atualizações são implementadas.
A Comissão de Infraestrutura Crítica da CISA recomenda que os usuários afetados apliquem as mitigações conforme as instruções fornecidas pela Apache e caso isso não seja possível, por algum motivo, é aconselhada a interrupção temporária do uso do recurso, até que as limitações para a atualização sejam superadas.
Em resumo, a CVE-2023-46604 representa uma ameaça significativa à segurança cibernética e exige uma resposta imediata e coordenada por parte dos usuários e administradores de sistemas afetados.
A implementação rápida de atualizações de segurança e a adoção de processo para a gestão contínua de vulnerabilidades são fundamentais para proteger os sistemas contra potenciais explorações maliciosas.
This post is also available in: Português
