Οι ερευνητές ασφαλείας εντοπίζουν εκατοντάδες διευθύνσεις IP σε καθημερινή βάση που σαρώνουν ή προσπαθούν να εκμεταλλευτούν τις υπηρεσίες Apache
RocketMQ
που είναι ευάλωτες σε ένα ελάττωμα εκτέλεσης απομακρυσμένης εντολής που προσδιορίζεται ως CVE-2023-33246 και CVE-2023-37582.
Και οι δύο ευπάθειες έχουν βαθμολογία κρίσιμης σοβαρότητας και αναφέρονται σε ένα ζήτημα που παρέμεινε ενεργό μετά την αρχική ενημέρωση κώδικα του προμηθευτή τον Μάιο του 2023.
Αρχικά, το ζήτημα της ασφάλειας παρακολουθήθηκε ως
CVE-2023-33246
και επηρέασε πολλά στοιχεία, συμπεριλαμβανομένων των NameServer, Broker και Controller.
Ο Apache κυκλοφόρησε μια επιδιόρθωση που ήταν ελλιπής για το στοιχείο NameServer στο RocketMQ και συνέχισε να επηρεάζει τις εκδόσεις 5.1 και παλαιότερες της
πλατφόρμα
ς διανομής μηνυμάτων και ροής.
“Το στοιχείο RocketMQ NameServer εξακολουθεί να έχει μια ευπάθεια απομακρυσμένης εκτέλεσης εντολών, καθώς το ζήτημα CVE-2023-33246 δεν επιδιορθώθηκε πλήρως στην έκδοση 5.1.1”, αναφέρει μια
προειδοποίηση από τον Rongtong Jin
μέλος της Επιτροπής Διαχείρισης Έργου Apache RocketMQ.
Σε ευάλωτα συστήματα, οι εισβολείς μπορούν να αξιοποιήσουν την ευπάθεια για να εκτελέσουν εντολές χρησιμοποιώντας τη συνάρτηση διαμόρφωσης ενημέρωσης στον NameServer όταν η διεύθυνσή του εκτίθεται στο διαδίκτυο χωρίς τους κατάλληλους ελέγχους αδειών.
“Όταν οι διευθύνσεις NameServer διαρρέουν στο extranet και δεν έχουν
επα
λήθευση άδειας, ένας εισβολέας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια χρησιμοποιώντας τη συνάρτηση διαμόρφωσης ενημέρωσης στο στοιχείο NameServer για να εκτελέσει εντολές ως χρήστες του συστήματος που εκτελεί το RocketMQ”, ο ερευνητής, ο οποίος είναι επίσης ένας μηχανικός έρευνας και ανάπτυξης στην Alibaba, εξηγεί.
Το θέμα αναφέρεται πλέον ως
CVE-2023-37582
και αυτό είναι
συνιστάται
για να αναβαθμίσετε τον NameServer στην έκδοση 5.1.2/4.9.7 ή νεότερη για το RocketMQ 5.x/4.x για να αποφύγετε επιθέσεις που εκμεταλλεύονται την ευπάθεια.
Η πλατφόρμα παρακολούθησης απειλών Το ShadowServer Foundation έχει καταγραφεί
εκατοντάδες
κεντρικών υπολογιστών που σαρώνουν για συστήματα RocketMQ που εκτίθενται στο διαδίκτυο, μερικοί από αυτούς προσπαθούν να εκμεταλλευτούν τα δύο τρωτά σημεία.
.png)
Ο οργανισμός σημειώνει ότι οι επιθέσεις που παρακολουθεί «μπορεί να περιλαμβάνουν απόπειρες εκμετάλλευσης για τα CVE-2023-33246 και CVE-2023-37582».
Ο ShadowServer λέει ότι η δραστηριότητα που παρατηρεί μπορεί να είναι μέρος προσπαθειών αναγνώρισης από πιθανούς εισβολείς, προσπάθειες εκμετάλλευσης ή ακόμα και ερευνητές που σαρώνουν για εκτεθειμένα τελικά σημεία.
Οι χάκερ άρχισαν να στοχεύουν ευάλωτα συστήματα Apache RocketMQ τουλάχιστον από τον Αύγουστο του 2023, όταν παρατηρήθηκε μια νέα έκδοση του
botnet
DreamBus που αξιοποιεί ένα CVE-2023-33246 για να ρίξει τους εξορύκτες XMRig Monero σε ευάλωτους διακομιστές.
Τον Σεπτέμβριο του 2023, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των
ΗΠΑ
(CISA) προέτρεψε τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν το ελάττωμα μέχρι το τέλος του μήνα, προειδοποιώντας για το καθεστώς ενεργού εκμετάλλευσής του.
VIA:
bleepingcomputer.com
