Новости Исправление не помогло: две RCE-уязвимости Apache RocketMQ стали инструментом разведки

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Кто и зачем ищет уязвимые системы Apache?


i05o8pif9wp9xsysxt7gvc64pbnopqak.jpg


Платформа ShadowServer ежедневно обнаруживает сотни IP-адресов, которые сканируют или пытаются использовать службы Apache RocketMQ, содержащие уязвимости удаленного выполнения кода (Remote Code Execution, RCE), обозначенные как CVE-2023-33246 и CVE-2023-37582. Обе уязвимости являются критическими и относятся к проблеме, которая оставалась активной после первого исправления, выпущенного поставщиком в мае 2023 года.

Изначально проблема безопасности отслеживалась как Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) и затрагивала несколько компонентов, включая NameServer, Broker и Controller. Apache выпустил исправление, но оно было неполным для компонента NameServer в RocketMQ, и ошибка продолжала влиять на версии 5.1 и более ранние.

Компоненты Apache RocketMQ NameServer, Broker и Controller доступны из экстрасети и не имеют проверки разрешений. Киберпреступник может использовать уязвимость для выполнения произвольных команд от имени пользователя системы, на которой работает RocketMQ. Хакер может вызвать ошибку, используя функцию обновления конфигурации или подделав содержимое протокола RocketMQ.

Проблема теперь имеет идентификатор Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8). Пользователям рекомендуется обновить NameServer до версии 5.1.2/4.9.7 или выше для RocketMQ 5.x/4.x, чтобы избежать атак, использующих эту уязвимость.

ShadowServer Foundation Для просмотра ссылки Войди или Зарегистрируйся более 500 хостов, сканирующих доступные в Интернете системы RocketMQ, некоторые из них пытались использовать две уязвимости. Большинство Для просмотра ссылки Войди или Зарегистрируйся располагаются в США, Китае, Таиланде и Великобритании. ShadowServer заявляет, что наблюдаемая активность может быть частью попыток разведки, эксплуатации или деятельности исследователей, сканирующих открытые конечные точки.

Хакеры Для просмотра ссылки Войди или Зарегистрируйся по крайней мере с августа 2023 года, когда была замечена новая версия ботнета DreamBus, использующая эксплойт CVE-2023-33246 для размещения майнеров XMRig на уязвимых серверах. В сентябре 2023 года агентство кибербезопасности и защиты инфраструктуры США (CISA) призвало федеральные агентства исправить уязвимость до конца месяца, предупредив о статусе ее активной эксплуатации.
 
Источник новости
www.securitylab.ru

Похожие темы