ActiveMQの脆弱性(CVE-2023-46604)を悪用したボットの感染活動について

はじめに

　サイバーセキュリティ研究室 解析チームでは NICTERのダークネット観測網に届くパケットの分析や送信元ホストに関する調査を日々行っています．今回のブログでは，2023年11月に観測したActivMQの脆弱性に関連したパケット数の増加について紹介します．

概要

　10月26日(現地時間)に開発チームにより「Apache ActiveMQ」および「Apache ActiveMQ Legacy OpenWire Module」に存在する脆弱性に対応したバージョンがリリースされました¹．同脆弱性については詳細な技術情報や実証コード（PoC）が公開済みで，Rapid7 によると10月27日に同脆弱性の悪用を試みたとみられる活動を同社顧客において検出したとのことです²．この検出ケースで攻撃者は，身代金要求を目的として標的のシステムにランサムウェアの展開を試みており当該ランサムウェアはその身代金のメモなどから「HelloKitty」のファミリーであるとのことです．また米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は，すでにランサムウェアでの悪用が確認されているとして11月2日に「悪用が確認された脆弱性カタログ（KEV）」へ同脆弱性を追加しています．

　ダークネット観測網では，当該脆弱性に関連した通信として，10月27日ごろから61616/tcp宛通信のホスト数の増加を観測しました.また直近では，11月26日頃から更なるパケット数の増加を確認しており，ボットの感染活動がみられました．

脆弱性について

　Apache ActiveMQは，異なるサービス間の通信ブリッジとして機能するように設計されたメッセージブローカーサービスです．Javaで開発されており，AMQP，STOMP，MQTT，OpenWireなどの複数のプロトコル形式を仲介できます．当該脆弱性はActiveMQによって提供されるOpenWireモジュールにおけるリモートの安全でないデシリアライゼーションの脆弱性で，CVE-2023-46604（CVSS スコア: 10.0）が割り当てられました．OpenWireモジュールはデフォルトで61616/TCPでの待ち受けが有効になっており，未認証の攻撃者による任意のコマンド実行が可能です．当該脆弱性の対応として10月末にリリースされたActiveMQのバージョン5.15.16，5.16.7，5.17.6，または5.18.3のApacheによってパッチが適用されています．Shadowserverプロジェクト はインターネット上で公開されているActiveMQのOpenWireポート(61616/tcp) 7,249個のインスタンス(2023年10月30日現在)を特定し，そのうち3,329個がCVE-2023-46604に対して脆弱であるとしています³．公開されたPoC⁴ やRapid7の分析情報⁵ は，SpringフレームワークのClassPathXmlApplicationContextクラスでインスタンスを生成するときにXMLファイルを外部から標的にダウンロードしコマンドを実行させることで標的にランサムウェアなどを感染させることが可能となるものでしたが， 11月15日にはVulncheckのサイバーセキュリティ研究者によりFileSystemXmlApplicationContextクラスを使用してメモリ内で任意のコードを実行する新しい手法について実証したBlogも公開されています⁶．下記に実際にNICTERで観測した内容から推測される攻撃フローを図示します．

ハニーポットの観測状況

　NICTERが運用するハニーポットにおいても2023年10月31日ごろから61616/tcp宛てのActiveMQサーバの探索と推測されるスキャン開始を観測しており，Shadowserverを中心にスキャンが継続しています．

おわりに

　11月28日に実施した調査では，61616/tcpがオープンでActiveMQと判定された日本のホスト数は39件でした．日本国内における本脆弱性の影響範囲はさほど大きくはありませんが，本稿執筆現在も継続している攻撃では，22/tcpへのスキャン機能を備えたボットを配布していることから脆弱な認証情報が設定されているSSHサーバを標的としているとみられます．SSHサーバなどでインターネットからの遠隔ログインを許可している場合には，再度設定をご確認ください．

付録