Η CISA προειδοποιεί για κρίσιμο σφάλμα Apache RocketMQ που χρησιμοποιείται σε επιθέσεις
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε στον κατάλογό της με γνωστά εκμεταλλευόμενα τρωτά σημεία (KEV) ένα ζήτημα κρίσιμης σοβαρότητας που παρακολουθείται ως CVE-2023-33246 που επηρεάζει την πλατφόρμα ανταλλαγής μηνυμάτων και ροής
RocketMQ
της Apache.
Πολλοί παράγοντες απειλής εκμεταλλεύονται πιθανώς την ευπάθεια αυτή τη στιγμή για να εγκαταστήσουν διάφορα ωφέλιμα φορτία σε επηρεαζόμενα συστήματα (εκδόσεις RocketMQ 5.1.0 και παρακάτω).
Η εκμετάλλευση της ευπάθειας είναι δυνατή χωρίς έλεγχο ταυτότητας και έχει χρησιμοποιηθεί στη φύση από τουλάχιστον τον Ιούνιο από τους χειριστές του botnet DreamBus για την ανάπτυξη ενός εξορύκτη κρυπτονομισμάτων Monero.
Σχεδιαστικό ελάττωμα
CISA είναι
προειδοποίηση ομοσπονδιακών υπηρεσιών
ότι θα πρέπει να επιδιορθώσουν την ευπάθεια CVE-2023-33246 για τις εγκαταστάσεις Apache RocketMQ στα συστήματά τους έως τις 27 Σεπτεμβρίου.
Εάν δεν είναι δυνατή η ενημέρωση της εφαρμογής σε ασφαλή έκδοση ή ο μετριασμός του κινδύνου με κάποιο άλλο τρόπο, η CISA συνιστά τη διακοπή της χρήσης του προϊόντος.
Η υπηρεσία
κυβερνοασφάλεια
ς σημειώνει ότι ένας εισβολέας μπορεί να εκμεταλλευτεί το ζήτημα «χρησιμοποιώντας τη λειτουργία διαμόρφωσης ενημέρωσης για να εκτελέσει εντολές ως χρήστες του συστήματος που εκτελεί το RocketMQ».
Το
Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST)
προσθέτει
ότι το αποτέλεσμα είναι το ίδιο εάν ένας εισβολέας παραποιήσει το περιεχόμενο του πρωτοκόλλου RocketMQ.
Η προειδοποίηση της CISA για το CVE-2023-33246 ακολουθεί
Τζέικομπ Μπέινς
ένας ερευνητής στην πλατφόρμα πληροφοριών ευπάθειας VulnCheck, δημοσίευσε τεχνικές λεπτομέρειες που εξηγούν το πρόβλημα ασφάλειας.
Η αξιοποίηση του προβλήματος είναι δυνατή επειδή πολλά στοιχεία RocketMQ που περιλαμβάνουν NameServer, Broker και Controller, εκτίθενται στο δημόσιο διαδίκτυο, καθιστώντας τα στόχο για χάκερ.
«Ο μεσίτης RocketMQ δεν προοριζόταν ποτέ να εκτεθεί στο διαδίκτυο. Η δι
επα
φή είναι ανασφαλής από τη σχεδίασή της και προσφέρει μια ποικιλία από διοικητικές λειτουργίες» –
Τζέικομπ Μπέινς
Ωφέλιμο φορτίο από πολλούς ηθοποιούς
Προσπαθώντας να βρει πόσοι πιθανοί στόχοι RocketMQ εκτίθενται στο διαδίκτυο, ο ερευνητής αναζήτησε κεντρικούς
υπολογιστές
με τη θύρα TCP 9876 που χρησιμοποιείται από τον διακομιστή ονομάτων RocketMQ και βρήκε περίπου 4.500 συστήματα.
Μπέινς
σημειώσεις
ότι τα περισσότερα από τα συστήματα ήταν συγκεντρωμένα σε μια χώρα, πράγμα που θα μπορούσε να σημαίνει ότι πολλά από αυτά είναι honeypots που έχουν δημιουργηθεί από ερευνητές.
Κατά τη σάρωση δυνητικά ευάλωτων συστημάτων, ο ερευνητής ανακάλυψε επίσης «μια ποικιλία κακόβουλων ωφέλιμων φορτίων», υποδηλώνοντας ότι πολλοί παράγοντες απειλών εκμεταλλεύονται την ευπάθεια.
Αν και εμφανίζουν ύποπτη συμπεριφορά, μερικά από τα εκτελέσιμα [
1
,
2
,
3
,
4
] έπεσε μετά την εκμετάλλευση του RocketMQ δεν εντοπίζονται επί του παρόντος ως κακόβουλοι από μηχανές προστασίας από ιούς στην πλατφόρμα σάρωσης Virus Total
Η αμφίβολη συμπεριφορά των δειγμάτων σε ένα σύστημα περιλαμβάνει τη διαγραφή τους, την εκτέλεση εντολών για την τροποποίηση των δικαιωμάτων, την απαρίθμηση διαδικασιών, την απόρριψη διαπιστευτηρίων, την ανάγνωση των ιδιωτικών κλειδιών SSH και του αρχείου «known_hosts», την κωδικοποίηση και την κρυπτογράφηση δεδομένων και την ανάγνωση του ιστορικού bash.
Ο Baines λέει ότι παρόλο που το CVE-2023-33246 έχει συσχετιστεί δημόσια με έναν μόνο αντίπαλο, υπάρχουν τουλάχιστον πέντε παράγοντες που το εκμεταλλεύονται.
Υπάρχει διαθέσιμη μια ενημέρωση που αντιμετωπίζει το πρόβλημα και συνιστάται στους χρήστες να μεταβούν στην πιο πρόσφατη έκδοση της εφαρμογής.
