ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıkları (KEV) kataloğuna, Apache’nin RocketMQ dağıtılmış mesaj ve akış platformunu etkileyen CVE-2023-33246 olarak izlenen kritik bir sayılık sorunu ekledi.
Çoklu tehdit aktörleri, etkilenen sistemlere çeşitli yükler yüklemek için şu anda güvenlik açığından yararlanıyor (RocketMQ sürümleri 5.1.0 ve daha düşük).
Güvenlik açığından yararlanmak kimlik doğrulaması olmadan mümkündür ve bir Monero kripto para madenci dağıtmak için Dreambus Botnet operatörleri tarafından en az Haziran ayından bu yana vahşi doğada kaldırılmıştır.
CISA, federal ajanslara 27 Eylül'e kadar Sistemlerindeki Apache RocketMQ kurulumları için CVE-2023-33246 Güvenlik Açığı'nı düzeltmeleri konusunda uyarıyor.
Uygulamayı güvenli bir sürüme güncellemek veya riski başka bir şekilde azaltmak mümkün değilse, CISA ürünü kullanmayı bırakmanızı önerir.
Siber güvenlik ajansı, bir saldırganın sorunu “RocketMQ'nun çalıştırdığı sistem kullanıcıları olarak komutları yürütmek için güncelleme yapılandırma işlevini kullanarak” kullanabileceğini belirtiyor.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), bir saldırgan RocketMQ protokol içeriğini oluşturursa sonucun aynı olduğunu ekliyor.
CISA’nın CVE-2023-33246 hakkındaki uyarısı, güvenlik açığı istihbarat platformu Vulncheck'teki bir araştırmacı olan Jacob Baines'in güvenlik sorununu açıklayan teknik detaylar yayınladıktan sonra geliyor.
Nameerver, broker ve denetleyiciyi içeren birden fazla roketmq bileşeni kamuya açık internette maruz kaldığından, onları bilgisayar korsanları için bir hedef haline getirdiğinden sorunu kullanmak mümkündür.
“Rocketmq brokeri asla internete maruz kalmaması gerekmiyordu. Arayüz tasarıma göre güvensizdir ve çeşitli idari işlevler sunar ” -Jacob Baines
Kaç potansiyel rocketmq hedefinin çevrimiçi olarak maruz kaldığını bulmaya çalışan araştırmacı, RocketMQ NameServer tarafından kullanılan TCP bağlantı noktası 9876 ile ev sahiplerini aradı ve yaklaşık 4.500 sistem buldu.
Baines, sistemlerin çoğunun bir ülkede yoğunlaştığını belirtiyor, bu da birçoğunun araştırmacılar tarafından kurulan balkamlar olduğu anlamına gelebilir.
Potansiyel olarak savunmasız sistemleri tararken, araştırmacı “çeşitli kötü amaçlı yükler” de keşfetti ve bu da birden fazla tehdit aktörünün güvenlik açığından yararlandığını öne sürdü.
Şüpheli davranışlar sergilemelerine rağmen, RocketMQ'dan yararlandıktan sonra bırakılan yürütülebilir ürünlerden bazıları [1, 2, 3, 4] şu anda virüs toplam tarama platformunda antivirüs motorları tarafından kötü niyetli olarak tespit edilmiyor
Örneklerin bir sistem üzerindeki şüpheli davranışları, kendilerini silmek, izinleri değiştirmek için komutlar çalıştırmayı, süreçleri numaralandırmak, kimlik bilgilerini boşaltma, SSH özel anahtarlarını ve “bilinen_hosts” dosyasını okumayı, verileri kodlamayı ve şifrelemeyi ve BASH geçmişini okumayı içerir.
Baines, CVE-2023-33246'nın sadece bir düşmanla halka açık bir şekilde ilişkili olmasına rağmen, onu sömüren en az beş aktör olduğunu söylüyor.
Sorunu ele alan bir güncelleme mevcuttur ve kullanıcıların uygulamanın en son sürümüne geçmek için önerilir.
İranlı korsanlar ABD havacılık orgunu Zoho, Fortinet Bugs üzerinden ihlal ediyor
CISA, vahşi doğada sömürülen kritik Citrix ShareFile Kususu konusunda uyarıyor
CISA: Barracuda ESG Hacks'de kullanılan yeni jakuzi arka kapı
EOL Zyxel yönlendiricide Gafgyt kötü amaçlı yazılımdan yararlanıyor
FBI, CISA ve NSA, 2022'nin en çok sömürülen güvenlik açıklarını ortaya çıkarıyor
Kaynak: Bleeping Computer