安全通告

电科网安预警“Apache ActiveMQ jolokia 远程代码执行漏洞”，漏洞等级高危，建议及时采取修复或缓解措施以避免受到损失。

漏洞名称：Apache ActiveMQ jolokia 远程代码执行漏洞

漏洞编号：CVE-2022-41678

漏洞等级：高危

漏洞概要：

Apache ActiveMQ是Apache开源基金会下的一个开源消息中间件项目，用于在分布式系统中进行异步通信。它实现了Java Message Service (JMS) API，提供了可靠的消息传递和高性能的消息处理能力。Java Management Extensions (JMX)是用于管理和监控Java应用程序的技术。Jolokia是一个Java库，提供了RESTful API，可以通过HTTP协议来访问和操作Java Management Extensions (JMX)。ActiveMQ使用Jolokia来访问和管理ActiveMQ的JMX MBeans。

近期Apache基金会披露，修复了一个Apache ActiveMQ jolokia 远程代码执行漏洞。当攻击者通过默认口令或弱口令获得ActiveMQ Web 控制台权限，负责认证的Servlet容器Jetty允许org.jolokia.http.AgentServlet处理对/api/jolokia的请求，在JDK11及以上版本的环境可写入webshell，或利用其他组件特性绕过JDK11环境限制实现远程代码执行，获取服务器权限。

经跟踪研判，漏洞详情及POC已公开，暂未监测到在野利用。厂家已发布修复版本。攻防实验室已复现该漏洞。

影响范围：

Ø Apache ActiveMQ 5.18.x和6.0.x版本不受该漏洞影响

Ø 受影响版本为Apache ActiveMQ 5.16.x和5.17.x

5.16.0 <= Apache ActiveMQ < 5.16.6

5.17.0 <= Apache ActiveMQ < 5.17.4

安全版本：

Apache ActiveMQ >= 5.16.6

Apache ActiveMQ >= 5.17.4

Apache ActiveMQ >= 5.18.0

Apache ActiveMQ >= 6.0.0

修复方案：

Ø 升级到安全版本

缓解措施：

Ø 在WAF上限制对/api/jolokia接口的请求或IP限源

Ø 禁止将ActiveMQ服务和 Web 控制台（默认端口8161）暴露到公网

Ø 参照官方手册开启ActiveMQ Web 控制台认证并设置为强口令

https://activemq.apache.org/web-console

附录：

Ø Apache官方漏洞通告

https://activemq.apache.org/security-advisories.data/CVE-2022-41678-announcement.txt

Ø 官方安全版本下载地址

https://activemq.apache.org/components/classic/download/