Rischio di compromissione per migliaia di server Apache ActiveMQ

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

Più di tremila server Apache ActiveMQ esposti su Internet sono attualmente a rischio a causa di una vulnerabilità critica di esecuzione di codice remoto (RCE) recentemente rivelata. Apache ActiveMQ è un message broker open-source ampiamente utilizzato che facilita la comunicazione in ambienti enterprise. Supporta vari meccanismi di autenticazione e autorizzazione sicuri, rendendolo un componente chiave nei sistemi in cui la connettività diretta non è possibile.

La vulnerabilità

La vulnerabilità in questione, denominata CVE-2023-46604, è classificata come critica e consente agli attaccanti di eseguire comandi shell arbitrari sfruttando tipi di classi serializzate nel protocollo OpenWire. Ciò potrebbe potenzialmente portare all'intercettazione dei messaggi, interruzioni dei flussi di lavoro, furto di dati e persino movimento laterale all'interno della rete.

Fix e server vulnerabili

Apache ha rilasciato correzioni per questo problema il 27 ottobre 2023, con le versioni raccomandate per l'aggiornamento che includono: 5.15.16 5.16.7 5.17.6 5.18.3 I ricercatori del servizio di monitoraggio delle minacce ShadowServer hanno scoperto un totale di 7.249 server accessibili con servizi ActiveMQ. Di questi, 3.329 stavano eseguendo una versione vulnerabile di ActiveMQ, mettendoli a rischio di esecuzione di codice remoto.

Distribuzione geografica dei server vulnerabili

La maggior parte di questi server vulnerabili (1.400) si trova in Cina, con gli Stati Uniti che ne ospitano 530, la Germania 153 e l'India, i Paesi Bassi, la Russia, la Francia e la Corea del Sud che ne hanno ciascuno 100 o più esposti. Con i dettagli tecnici sull'exploit del CVE-2023-46604 pubblicamente disponibili, l'applicazione degli aggiornamenti di sicurezza diventa una questione di urgenza.