data center

Hackers miram servidores Apache RocketMQ vulneráveis a RCE

Centenas de endereços IP foram rastreados tentando explorar serviços RocketMQ vulneráveis a falhas de execução remota de código
Da Redação
08/01/2024

Pesquisadores de segurança estão detectando diariamente centenas de endereços IP que verificam ou tentam explorar serviços Apache RocketMQ vulneráveis a falhas de execução remota de código (RCE) identificadas como CVE-2023-33246 e CVE-2023-37582. Ambas têm uma pontuação de gravidade crítica e se referem a um problema que permaneceu ativo após o patch inicial do fornecedor em maio de 2023.

Inicialmente, o problema de segurança foi rastreado como CVE-2023-33246 e impactou vários componentes, incluindo NameServer, Broker e Controller. A Fundação Apache lançou uma correção que estava incompleta para o componente NameServer no RocketMQ e continuou a afetar as versões 5.1 e anteriores da plataforma distribuída de mensagens e streaming.

“O componente RocketMQ NameServer ainda tem uma vulnerabilidade de execução remota de código, pois o CVE-2023-33246 não foi completamente corrigido na versão 5.1.1”, diz Rongtong Jin, membro do Comitê de Gerenciamento de Projetos Apache RocketMQ, em um post no Openwall Project, repositório de softwares, incluindo o servidor Apache.

Em sistemas vulneráveis, os invasores podem aproveitar a vulnerabilidade para executar comandos usando a função de configuração de atualização no NameServer quando seu endereço é exposto online sem as devidas verificações de permissão.

“Quando os endereços do NameServer vazam na extranet e não têm verificação de permissão, um invasor pode explorar essa vulnerabilidade usando a função de configuração de atualização no componente NameServer para executar comandos como os usuários do sistema que o RocketMQ está executando”, disse o pesquisador, que também é engenheiro de pesquisa e desenvolvimento do grupo chinês de comércio online Alibaba.

Identificado agora como CVE-2023-37582, para saná-lo é recomendado atualizar o NameServer para a versão 5.1.2/4.9.7 ou superior para o RocketMQ 5.x/4.x para evitar ataques que exploram a vulnerabilidade.

Veja isso
Hackers atacam falha no Apache NiFi que expõe organizações
Servidores Apache Tomcat são alvos do Mirai para cryptojacking

A plataforma de rastreamento de ameaças The ShadowServer Foundation registrou centenas de hosts verificando sistemas RocketMQ expostos online, alguns deles tentando explorar as duas vulnerabilidades. A organização observa que os ataques que rastreia “podem incluir tentativas de exploração de CVE-2023-33246 e CVE-2023-37582”.

A ShadowServer diz que a atividade que observa pode ser parte de tentativas de reconhecimento de possíveis invasores, esforços de exploração ou até mesmo de pesquisadores que procuram endpoints expostos.

Os hackers começaram a atacar sistemas Apache RocketMQ vulneráveis desde pelo menos agosto do ano passado, quando uma nova versão do botnet DreamBus foi observada aproveitando uma exploração CVE-2023-33246 para colocar mineradores XMRig Monero em servidores vulneráveis. Em setembro, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA alertou as agências federais a corrigir a falha.

Para obter mais detalhes sobre o CVE-2023-33246, acesse o relatório da Juniper, em inglês, clicando aqui.

Compartilhar:

Últimas Notícias