Apache ActiveMQ 是最流行的开源，多协议，基于 Java 的消息传递服务器。它支持行业标准协议，因此用户可以通过广泛的语言和平台从客户选择中受益。可以使用C，C ++，Python，.Net等进行连接。

Apache 软件基金会公布 ActiveMQ 消息中间件中存在一个安全漏洞。攻击者可利用该漏洞执行任意代码。此漏洞形成的原因为：

1. 在提交防止 JMX(Java Management Extensions，即 Java 管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了 regression。
2. 将一个空的环境映射而不是包含身份验证凭据的映射传递到RMIConnectorServer会使得ActiveMQ容易受到以下攻击：https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html。
3. 在没有安全管理器的情况下，远程客户端可以创建一个 javax.management.loading.MLet MBean，并使用它从任意 URL 创建新的 MBean，这可能会导致恶意的远程客户端使用Java应用程序执行任意代码。

请相关用户及时升级进行防护。

CVE 编号

CVE-2020-13920

影响范围

• Apache ActiveMQ < 5.15.12

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Apache-ActiveMQ"）共有 75,339 个相关服务对外开放。中国大陆使用数量最多，共有 45,329 个；美国第二，共有 9,843 个；巴西第三，共有 2,414；中国香港第四，共有 1,891个；德国第五，共有 1,786个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 8,699个；北京第二，共有 4,312 个；广东第三，共有 1,718 个；山东第四，共有 1,221个；上海第五，共有 1,011 个。

修复建议

1. 目前Apache官方已发布安全更新，建议升级到Apache ActiveMQ 5.15.13版本。下载链接：http://activemq.apache.org/activemq-51513-release

参考

[1].https://nvd.nist.gov/vuln/detail/CVE-2020-13920

[2].http://activemq.apache.org/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。