Güvenlik araştırmacıları, CVE-2023-33246 ve CVE-2023-37582 olarak tanımlanan uzaktan komut yürütme kusuruna karşı savunmasız Apache RocketMQ hizmetlerini taramaya veya kullanmaya çalışan yüzlerce IP adresi tespit ediyor.
Her iki güvenlik açığı da kritik bir şiddet puanı vardır ve satıcının Mayıs 2023'teki ilk yamasından sonra aktif kalan bir sorunu ifade eder.
Başlangıçta, güvenlik sorunu CVE-2023-33246 olarak izlendi ve NameServer, Broker ve Controller dahil olmak üzere birden fazla bileşeni etkiledi.
Apache, RocketMQ'daki NameServer bileşeni için eksik olan bir düzeltme yayınladı ve dağıtılmış mesaj ve akış platformunun 5.1 ve daha büyük sürümlerini etkilemeye devam etti.
Apache RocketMQ Proje Yönetim Komitesi üyesi Rongtong Jin'den bir uyarı okuyor. "Rocketmq NameServer bileşeninin CVE-2023-33246 sorunu 5.1.1 sürümünde tamamen sabit olmadığı için hala bir uzaktan komut yürütme güvenlik açığı var."
Savunmasız sistemlerde, saldırganlar, adresi uygun izin kontrolleri olmadan çevrimiçi olarak maruz kaldığında NameServer'daki güncelleme yapılandırma işlevini kullanarak komutları yürütmek için güvenlik açığından yararlanabilir.
"NameServer adresleri extranette sızdırıldığında ve izin doğrulaması eksikliğinde, bir saldırgan, RocketMQ'nun çalıştığı sistem kullanıcıları olarak komutları yürütmek için NameServer bileşenindeki güncelleme yapılandırma işlevini kullanarak bu güvenlik açığını kullanabilir." Alibaba'da bir araştırma ve geliştirme mühendisi açıklıyor.
Sorun şimdi CVE-2023-37582 olarak adlandırılıyor ve güvenlik açığından yararlanmadan kaçınmak için NameServer'ın 5.1.2/4.9.7 veya daha yüksek sürümüne yükseltilmesi öneriliyor.
Tehdit İzleme Platformu Shadowserver Foundation, çevrimiçi olarak maruz kalan rocketmq sistemleri için yüzlerce ana bilgisayar taramıştır ve bazıları iki güvenlik açığından yararlanmaya çalıştı.
Organizasyon, "izlediği saldırıların" CVE-2023-33246 ve CVE-2023-37582 için sömürü girişimlerini içerebileceğini "belirtiyor.
Shadowserver, gözlemlediği faaliyetin potansiyel saldırganlardan, sömürü çabalarının ve hatta açıkta kalan uç noktalar için tarayan araştırmacıların keşif girişimlerinin bir parçası olabileceğini söylüyor.
Bilgisayar korsanları, en azından Ağustos 2023'ten beri savunmasız Apache Rocketmq sistemlerini hedeflemeye başladı, Dreambus botnet'in yeni bir versiyonunun CVE-2023-33246'dan yararlanması gözlemlendiği gözlemlendi.
Eylül 2023'te, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal kurumları ay sonuna kadar aktif sömürü durumu hakkında uyararak kusurları yamaya çağırdı.
Korunmasız Confluence Sunucuları Bulmak için RCE Kusurlu Apache Ofbiz Kusurlu
Bilgisayar korsanları, POC POC'yi kullanarak kritik Apache Struts kusurlarını kullanıyor
Sophos Backports RCE Desteklenmemiş Güvenlik Duvarlarına Saldırılardan Sonra Fix
Yeni Botnet kötü amaçlı yazılım, NVR'leri ve yönlendiricileri enfekte etmek için iki sıfır gün istismar ediyor
Kinsing kötü amaçlı yazılımlar, kök skitleri dikmek için apache Activemq RCE'yi sömürüyor
Kaynak: Bleeping Computer