Вопреки исправлению, две RCE-уязвимости Apache RocketMQ стали инструментом разведки

[Artifact]

Платформа ShadowServer ежедневно обнаруживает сотни IP-адресов, которые сканируют или пытаются использовать службы Apache RocketMQ, содержащие уязвимости удаленного выполнения кода (Remote Code Execution, RCE), обозначенные как CVE-2023-33246 и CVE-2023-37582. Обе уязвимости являются критическими и относятся к проблеме, которая оставалась активной после первого исправления, выпущенного поставщиком в мае 2023 года.
Изначально проблема безопасности отслеживалась как CVE-2023-33246 (оценка CVSS: 9.8) и затрагивала несколько компонентов, включая NameServer, Broker и Controller. Apache выпустил исправление, но оно было неполным для компонента NameServer в RocketMQ, и ошибка продолжала влиять на версии 5.1 и более ранние.
Компоненты Apache RocketMQ NameServer, Broker и Controller доступны из экстрасети и не имеют проверки разрешений. Киберпреступник может использовать уязвимость для выполнения произвольных команд от имени пользователя системы, на которой работает RocketMQ. Хакер может вызвать ошибку, используя функцию обновления конфигурации или подделав содержимое протокола RocketMQ.
Проблема теперь имеет идентификатор CVE-2023-37582 (оценка CVSS: 9.8). Пользователям рекомендуется обновить NameServer до версии 5.1.2/4.9.7 или выше для RocketMQ 5.x/4.x, чтобы избежать атак, использующих эту уязвимость.
ShadowServer Foundation зарегистрировал более 500 хостов, сканирующих доступные в Интернете системы RocketMQ, некоторые из них пытались использовать две уязвимости. Большинство обнаруженных хостов располагаются в США, Китае, Таиланде и Великобритании. ShadowServer заявляет, что наблюдаемая активность может быть частью попыток разведки, эксплуатации или деятельности исследователей, сканирующих открытые конечные точки.
Хакеры начали атаковать уязвимые системы Apache RocketMQ по крайней мере с августа 2023 года, когда была замечена новая версия ботнета DreamBus, использующая эксплойт CVE-2023-33246 для размещения майнеров XMRig на уязвимых серверах. В сентябре 2023 года агентство кибербезопасности и защиты инфраструктуры США (CISA) призвало федеральные агентства исправить уязвимость до конца месяца, предупредив о статусе ее активной эксплуатации.