# CVE-2023-46604 > [!critical] RCE Crítico no Apache ActiveMQ - CVSS 10.0 com Exploração Massiva > Vulnerabilidade de execução remota de código com CVSS máximo (10.0) no Apache ActiveMQ, explorada em massa por múltiplos atores incluindo o malware **Kinsing** para cryptomining e pelos operadores de ransomware HelloKitty/FiveHands. ## Visão Geral A [[cve-2023-46604|CVE-2023-46604]] é uma vulnerabilidade de deserialização de classe Java no protocolo OpenWire do Apache ActiveMQ, um dos brokers de mensagens open-source mais amplamente utilizados no mundo. A falha recebeu CVSS máximo de 10.0 — a classificação mais alta possível — e permite execução remota de código arbitrário sem qualquer autenticação. A exploração é direta: o atacante envia um pacote ClassInfo OpenWire especialmente crafted para a porta padrão do ActiveMQ (61616) e pode instanciar qualquer classe Java disponível no classpath, levando imediatamente à execução de comandos do sistema operacional. Dias após a divulgação pública, múltiplos atores de ameaça começaram exploração em massa. O malware [[s0599-kinsing|Kinsing]] foi o mais rápido a incorporar o exploit para cryptomining. Paralelamente, operadores de ransomware HelloKitty e FiveHands utilizaram a falha para acesso inicial em ambientes corporativos. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Apache ActiveMQ | | Protocolo | OpenWire (porta padrão 61616) | | Tipo | Deserialização Java / RCE | | Acesso | Sem autenticação | | CVSS Base | 10.0 (MÁXIMO) | | Exploração | Massiva - dias após divulgação | ## Versões Afetadas e Patches | Versão | Patch Disponível | |--------|-----------------| | 5.15.x | 5.15.16 | | 5.16.x | 5.16.7 | | 5.17.x | 5.17.6 | | 5.18.x | 5.18.3 | ## TTPs Relacionados - [[t1190-exploit-public-facing-application|T1190]] - Exploração de Aplicação Pública - [[t1059-004-unix-shell|T1059.004]] - Shell Unix - [[t1496-resource-hijacking|T1496]] - Sequestro de Recursos - [[t1486-data-encrypted-for-impact|T1486]] - Dados Criptografados (ransomware) - [[t1105-ingress-tool-transfer|T1105]] - Transferência de Ferramenta ## Mitigação - Atualizar Apache ActiveMQ para versão corrigida imediatamente — PRIORIDADE MÁXIMA - Se atualização não for possível imediatamente: bloquear acesso externo à porta 61616 - Auditoria de instâncias ActiveMQ expostas na internet via Shodan/Censys - Monitorar processos filhos de Java e execuções de comandos shell no servidor ActiveMQ - Revisar logs de conexão na porta 61616 por tentativas de exploração > [!latam] Relevância para Brasil e LATAM > O Apache ActiveMQ é utilizado em sistemas de middleware empresarial, fintechs e plataformas de integração no Brasil. Com CVSS 10.0 e exploração massiva confirmada, qualquer instância ActiveMQ exposta à internet sem o patch deve ser considerada comprometida. Organizações com sistemas de mensageria baseados em ActiveMQ devem realizar scan urgente de exposição e aplicar o patch ou mitigação de rede imediatamente. ## Referências - [Rapid7 - CVE-2023-46604 Analysis and PoC](https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-CVE-2023-46604/) - [Huntress - ActiveMQ exploitation](https://www.huntress.com/blog/detecting-and-analyzing-the-activemq-rce-vulnerability) - [NVD - CVE-2023-46604](https://nvd.nist.gov/vuln/detail/CVE-2023-46604)