【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风险通告

● 点击↑蓝字关注我们，获取更多安全风险通告

（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）

影响组件

ActiveMQ是一个开源的消息代理和集成模式服务器，它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目，用于实现消息中间件，帮助不同的应用程序或系统之间进行通信。

漏洞描述

近日，奇安信CERT监测到Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)技术细节在互联网上公开，Apache ActiveMQ 中存在远程代码执行漏洞，具有 Apache ActiveMQ 服务器TCP端口（默认为61616）访问权限的远程攻击者可以通过发送恶意数据到服务器从而执行任意代码。

鉴于此漏洞利用简单，产品用量较大，并已存在在野利用，建议客户尽快做好自查及防护。

影响版本

Apache ActiveMQ < 5.18.3

Apache ActiveMQ < 5.17.6

Apache ActiveMQ < 5.16.7

Apache ActiveMQ < 5.15.16 

其他受影响组件

无

目前，奇安信CERT已成功复现Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)，截图如下：

奇安信鹰图资产测绘平台数据显示，Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)关联的国内风险资产总数为21794个，关联IP总数为5407个。国内风险资产分布情况如下：

Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)关联的全球风险资产总数为28082个，关联IP总数为8144个。全球风险资产分布情况如下：

安全更新

目前官方已通过限制反序列化类只能为Throwable的子类的方式来修复此漏洞。建议受影响用户可以更新到：

Apache ActiveMQ >= 5.18.3

https://github.com/apache/activemq/tags

产品解决方案

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击，请将插件版本和指纹版本升级到20231024163720以上版本。规则名称：Apache ActiveMQ QVD-2023-30790 远程代码执行漏洞。奇安信自动化渗透测试系统规则升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

奇安信开源卫士已支持

奇安信开源卫士20231026. 424版本已支持对Apache ActiveMQ 远程代码执行漏洞

(QVD-2023-30790)的检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：52564，建议用户尽快升级检测规则库至2310252330以上。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.1026.14083或以上版本。规则ID及规则名称：0x6030，Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

[1]https://github.com/apache/activemq/compare/activemq-5.18.2...activemq-5.18.3

[2]https://github.com/apache/activemq/tags

2023年10月25日，奇安信 CERT发布安全风险通告。

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

点击↓阅读原文，到ALPHA威胁分析平台订阅更多漏洞信息。