В Apache ActiveMQ обнаружена критическая уязвимость, которая существует более 13 лет и позволяет злоумышленникам удалённо выполнять команды на уязвимых серверах.
Проблема связана с недостаточной проверкой данных, поступающих в систему. Атакующий может отправить специально сформированный запрос и добиться выполнения произвольного кода на сервере без необходимости аутентификации.
Уязвимость затрагивает популярный брокер сообщений Apache ActiveMQ, широко используемый в корпоративных системах и интеграционных решениях. При успешной эксплуатации злоумышленник получает возможность запускать команды в системе, что открывает путь к дальнейшему компрометированию инфраструктуры.
Проблема долгое время оставалась незамеченной и была обнаружена только спустя годы после появления в кодовой базе. Это делает её особенно опасной, поскольку уязвимые системы могли находиться в эксплуатации без защиты на протяжении длительного времени.
Эксплуатация уязвимости уже наблюдалась в реальных атаках. Злоумышленники использовали её для загрузки вредоносных файлов и последующего развёртывания вредоносного ПО, включая программы-вымогатели.
Атака может начинаться с отправки вредоносного запроса к серверу ActiveMQ. В результате сервер загружает удалённый конфигурационный файл или класс, который инициирует выполнение вредоносного кода. После получения первоначального доступа злоумышленники могут повышать привилегии, извлекать учётные данные и распространяться по сети.
В ряде случаев атакующие сохраняют доступ к системе даже после устранения первичного инцидента, если уязвимость не была закрыта. Это позволяет им повторно проникать в инфраструктуру и завершать атаку, например, шифрованием данных.
Для защиты рекомендуется обновить Apache ActiveMQ до версий, в которых устранена уязвимость, а также ограничить доступ к брокеру из внешних сетей и контролировать подозрительную активность.
Источник: Cyber Security News