Pesquisadores de cibersegurança demonstraram uma nova técnica que explora uma falha crítica de segurança no Apache ActiveMQ para executar código arbitrário na memória.

Identificada como CVE-2023-46604 e com uma pontuação CVSS de 10.0, a vulnerabilidade é um bug de execução remota de código que permite a um ator de ameaça executar comandos shell arbitrários.

Apache corrigiu a falha nas versões 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 do ActiveMQ, lançadas no final do mês passado.

Desde então, a vulnerabilidade tem sido ativamente explorada por grupos de ransomware para implantar ransomwares como HelloKitty e uma variante semelhante ao TellYouThePass, além de um trojan de acesso remoto chamado SparkRAT.

Segundo os pesquisadores, os atores de ameaça que estão utilizando a falha estão se baseando em um exploit de prova de conceito (PoC) público divulgado originalmente em 25 de outubro de 2023.

Os ataques utilizam a classe ClassPathXmlApplicationContext, parte do framework Spring e disponível no ActiveMQ, para carregar um arquivo de configuração XML malicioso via HTTP e alcançar execução remota de código não autenticada no servidor.