Güvenlik araştırmacıları, CVE-2023-33246 ve CVE-2023-37582 olarak tanımlanan uzaktan komut yürütme kusuruna karşı savunmasız olan Apache RocketMQ hizmetlerini tarayan veya istismar etmeye çalışan yüzlerce IP adresini her gün tespit ediyor.
Her iki güvenlik açığı da kritik önem derecesine sahip ve satıcının Mayıs 2023’teki ilk yamasından sonra aktif kalan bir soruna işaret ediyor.
Başlangıçta güvenlik sorunu CVE-2023-33246 olarak takip edildi ve NameServer, Broker ve Controller dahil olmak üzere birden fazla bileşeni etkiledi.
Apache, RocketMQ’daki NameServer bileşeni için eksik olan bir düzeltme yayınladı ve dağıtılmış mesajlaşma ve akış platformunun 5.1 ve daha eski sürümlerini etkilemeye devam etti.
Apache RocketMQ Proje Yönetim Komitesi üyesi Rongtong Jin, “CVE-2023-33246 sorunu sürüm 5.1.1’de tamamen çözülmediği için RocketMQ NameServer bileşeni hala uzaktan komut yürütme güvenlik açığına sahip” diyor.
Savunmasız sistemlerde saldırganlar, adresi uygun izin kontrolleri olmadan çevrimiçi olarak açığa çıktığında NameServer’daki güncelleme yapılandırma işlevini kullanarak komutları yürütmek için güvenlik açığından yararlanabilir.
Araştırmacı, “NameServer adresleri extranette sızdırıldığında ve izin doğrulaması eksik olduğunda, bir saldırgan, RocketMQ’nun çalıştığı sistem kullanıcıları olarak komutları yürütmek için NameServer bileşenindeki güncelleme yapılandırma işlevini kullanarak bu güvenlik açığından yararlanabilir” dedi. Alibaba’da bir araştırma ve geliştirme mühendisi açıklıyor.
Sorun artık CVE-2023-37582 olarak adlandırılıyor ve bu güvenlik açığından yararlanan saldırıları önlemek için NameServer’ın RocketMQ 5.x/4.x için 5.1.2/4.9.7 veya üzeri bir sürüme yükseltilmesi öneriliyor.
Tehdit izleme platformu ShadowServer Vakfı, çevrimiçi olarak açığa çıkan RocketMQ sistemlerini tarayan yüzlerce ana bilgisayarı kaydetti; bunlardan bazıları iki güvenlik açığından yararlanmaya çalışıyor.
Kuruluş, izlediği saldırıların “CVE-2023-33246 ve CVE-2023-37582’ye yönelik istismar girişimlerini içerebileceğini” belirtiyor.
ShadowServer, gözlemlediği etkinliğin potansiyel saldırganların keşif girişimlerinin, istismar çabalarının ve hatta açığa çıkan uç noktaları tarayan araştırmacıların parçası olabileceğini söylüyor.
Bilgisayar korsanları, DreamBus botnet’in yeni bir sürümünün XMRig Monero madencilerini savunmasız sunuculara bırakmak için CVE-2023-33246 istismarından yararlandığı gözlemlendiğinden beri, en azından Ağustos 2023’ten bu yana savunmasız Apache RocketMQ sistemlerini hedeflemeye başladı.
Eylül 2023’te ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara kusuru ay sonuna kadar düzeltmeleri yönünde çağrıda bulunarak kusurun aktif kullanım durumu hakkında uyarıda bulundu.