Pesquisadores de segurança detectam diariamente centenas de endereços IP que verificam ou tentam explorar serviços Apache RocketMQ vulneráveis a uma falha de execução remota de comando identificada como CVE-2023-33246 e CVE-2023-37582. Os cibercriminosos miram na vulnerabilidade para praticarem ataques RCE.
Vulnerabilidades em servidores Apache RocketMQ
Ambas as vulnerabilidades têm uma pontuação de gravidade crítica e referem-se a um problema que permaneceu ativo após o patch inicial do fornecedor em maio de 2023. Inicialmente, o problema de segurança foi rastreado como CVE-2023-33246 e impactou vários componentes, incluindo NameServer, Broker e Controller.
O Apache lançou uma correção que estava incompleta para o componente NameServer no RocketMQ e continuou a afetar as versões 5.1 e anteriores da plataforma distribuída de mensagens e streaming.
Notícias Relacionadas
Meta acaba com rede de sextorsão no Instagram, eliminando 63.000 contas!
A Meta removeu 63.000 contas do Instagram da Nigéria, por estarem envolvidas em golpes de sextorsão. A exclusão incluiu uma rede coordenada de 2.500 contas vinculadas a 20 indivíduos que tinham como alvo principalmente homens adultos nos Estados Unidos. Meta exclui contas do Instagram vinculadas a sextorsão A Meta disse que essas contas estão vinculadas […]
Pane global
CEO da CrowdStrike em breve já pode pedir música no Fantástico
O atual CEO da CrowdStrike, George Kurtz, foi CEO da McAFee que em sua estadia na empresa causou um erro em uma atualização do McAFee que deixou milhares de computadores em loop de reinicialização sem fim. Kurtz já é considerado o único CEO do mundo a presidir duas grandes interrupções globais de PCs causada por […]
“O componente RocketMQ NameServer ainda tem uma vulnerabilidade de execução remota de comando, pois o problema CVE-2023-33246 não foi completamente corrigido na versão 5.1.1”, diz um aviso de Rongtong Jin, membro do Comitê de Gerenciamento de Projetos Apache RocketMQ.
A ação dos cibercriminosos
Em sistemas vulneráveis, os invasores podem aproveitar a vulnerabilidade para executar comandos usando a função de configuração de atualização no NameServer quando seu endereço é exposto online sem as devidas verificações de permissão.
“Quando os endereços do NameServer vazam na extranet e não têm verificação de permissão, um invasor pode explorar essa vulnerabilidade usando a função de configuração de atualização no componente NameServer para executar comandos como os usuários do sistema que o RocketMQ está executando”, disse o pesquisador, que também está um engenheiro de pesquisa e desenvolvimento da Alibaba, explica.
O problema agora é conhecido como CVE-2023-37582 e é recomendado atualizar o NameServer para a versão 5.1.2/4.9.7 ou superior para RocketMQ 5.x/4.x para evitar ataques que exploram a vulnerabilidade. Plataforma de rastreamento de ameaças A ShadowServer Foundation registrou centenas de hosts verificando sistemas RocketMQ expostos online, alguns deles tentando explorar as duas vulnerabilidades.
A organização observa que os ataques que rastreia “podem incluir tentativas de exploração de CVE-2023-33246 e CVE-2023-37582”. ShadowServer diz que a atividade que observa pode ser parte de tentativas de reconhecimento de possíveis invasores, esforços de exploração ou até mesmo de pesquisadores que procuram endpoints expostos.
Os hackers começaram a atacar sistemas Apache RocketMQ vulneráveis desde pelo menos agosto de 2023, quando uma nova versão do botnet DreamBus foi observada aproveitando uma exploração CVE-2023-33246 para colocar mineradores XMRig Monero em servidores vulneráveis. Em setembro de 2023, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) instou as agências federais a corrigir a falha até o final do mês, alertando sobre seu status de exploração ativa.
