ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Apache’nin RocketMQ dağıtılmış mesajlaşma ve akış platformunu etkileyen, CVE-2023-33246 olarak takip edilen, kritik önem derecesine sahip bir sorunu, bilinen istismar edilen güvenlik açıkları (KEV) kataloğuna ekledi.
Şu anda çok sayıda tehdit aktörünün, etkilenen sistemlere (RocketMQ sürüm 5.1.0 ve altı) çeşitli yükler yüklemek için bu güvenlik açığından yararlanması muhtemeldir.
Güvenlik açığından kimlik doğrulaması olmadan yararlanmak mümkün ve en azından Haziran ayından bu yana DreamBus botnet operatörleri tarafından Monero kripto para madencisini dağıtmak için kullanılıyor.
Tasarım hatası
CISA, federal kurumları, sistemlerindeki Apache RocketMQ kurulumlarına yönelik CVE-2023-33246 güvenlik açığını 27 Eylül’e kadar düzeltmeleri gerektiği konusunda uyarıyor.
Uygulamayı güvenli bir sürüme güncellemek veya riski başka bir şekilde azaltmak mümkün değilse CISA, ürünün kullanımına devam edilmemesini önerir.
Siber güvenlik kurumu, bir saldırganın “RocketMQ’nun çalıştırdığı sistem kullanıcıları olarak komutları yürütmek için güncelleme yapılandırma işlevini kullanarak” bu sorundan yararlanabileceğini belirtiyor.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), bir saldırganın RocketMQ protokol içeriğini taklit etmesi durumunda sonucun aynı olacağını ekliyor.
CISA’nın CVE-2023-33246 ile ilgili uyarısı daha sonra geliyor Jacob BainesGüvenlik açığı istihbarat platformu VulnCheck’te araştırmacı olan VulnCheck, güvenlik sorununu açıklayan teknik ayrıntıları yayınladı.
NameServer, Broker ve Controller’ı içeren birden fazla RocketMQ bileşeninin halka açık internette açığa çıkması ve bu bileşenlerin bilgisayar korsanlarının hedefi haline gelmesi nedeniyle bu sorundan yararlanmak mümkün.
“RocketMQ komisyoncusu hiçbir zaman internete açık olmayacak şekilde tasarlandı. Arayüz tasarımı gereği güvenli değil ve çeşitli idari işlevler sunuyor” – Jacob Baines
Birden fazla aktörden gelen yükler
Kaç tane potansiyel RocketMQ hedefinin çevrimiçi olarak açığa çıktığını bulmaya çalışan araştırmacı, RocketMQ Nameserver tarafından kullanılan TCP bağlantı noktası 9876’ya sahip ana bilgisayarları aradı ve yaklaşık 4.500 sistem buldu.
Baines, sistemlerin çoğunun tek bir ülkede yoğunlaştığını, bunun da çoğunun araştırmacılar tarafından kurulan bal küpleri olduğu anlamına gelebileceğini belirtiyor.
Araştırmacı, potansiyel olarak savunmasız sistemleri tararken aynı zamanda “çeşitli kötü amaçlı yükleri” de keşfetti; bu da birden fazla tehdit aktörünün bu güvenlik açığından yararlandığını gösteriyor.
Şüpheli davranışlar sergilemelerine rağmen bazı yürütülebilir dosyalar [1, 2, 3, 4] RocketMQ’yu kullandıktan sonra bırakılan virüsler şu anda Virus Total tarama platformundaki antivirüs motorları tarafından kötü amaçlı olarak algılanmıyor
Örneklerin sistem üzerindeki şüpheli davranışları arasında kendilerini silme, izinleri değiştirmek için komutlar çalıştırma, işlemleri numaralandırma, kimlik bilgilerini boşaltma, SSH özel anahtarlarını ve “known_hosts” dosyasını okuma, verileri kodlama ve şifreleme ve bash geçmişini okuma yer alıyor.
Baines, CVE-2023-33246’nın kamuya açık olarak yalnızca bir düşmanla ilişkilendirilmesine rağmen, onu istismar eden en az beş aktörün bulunduğunu söylüyor.
Sorunu gideren bir güncelleme mevcuttur ve kullanıcıların uygulamanın en son sürümüne geçmeleri önerilir.