محققان امنیتی روزانه صدها آدرس IP را که دارای سرویسهایApache RocketMQ آسیبپذیر در برابر حمله اجرای کد از راه دور، با شناسههای CVE-2023-33246 و CVE-2023-37582 هستند، اسکن و شناسایی میکنند. هر دو شناسه آسیبپذیر که دارای شدت بحرانی 9.8 هستند، پس از انتشار وصله اولیه در ماه می ۲۰۲۳ همچنان فعال باقی ماندند.
پس از بررسی شناسه آسیبپذیرCVE-2023-33246 مشخص شد چندین مؤلفه از جمله NameServer، Broker وController تحت تأثیر این آسیبپذیری قرار دارند. آپاچی وصلهای را منتشر کرد که برای مؤلفه NameServer در RocketMQ ناقص بود و همچنان بر نسخههای 5.1 و بالاتر از پلتفرم پیامرسانی و پخش توزیع شده (distributed messaging and streaming platform) تأثیر میگذاشت.
در خصوص آسیبپذیری CVE-2023-37582 هشداری از سمت مدیران پروژه Apache RocketMQ آمده است: مؤلفه RocketMQ NameServer هنوز دارای آسیبپذیری اجرای کد از راه دور است زیرا آسیبپذیری CVE-2023-33246 بهطور کامل در نسخه 5.1.1 برطرف نشده است. در سیستمهای آسیبپذیر، مهاجمان میتوانند از این آسیبپذیری برای اجرای کد با استفاده از تابع پیکربندی بهروزرسانی درNameServer ، زمانی که آدرس آن به صورت آنلاین، بدون بررسی مناسب مجوزها در معرض دید قرار میگیرد، بهرهبرداری کنند. زمانی که آدرسهای NameServer در اکسترانت (extranet) افشا میشوند و فاقد مجوز تأیید شده هستند، یک مهاجم میتواند با استفاده از تابع پیکربندی بهروزرسانی در مؤلفه NameServer با اجرای دستورات به عنوان کاربران سیستمی در RocketMQ (یا جعل محتوای پروتکل RocketMQ) این آسیبپذیری را مورد بهرهبرداری قرار دهند.
پلتفرم ShadowServer صدها هاست (Hosts) را ثبت کرده است که سیستمهای RocketMQ را به صورت آنلاین اسکن کرده و برخی از آنها سعی در بهرهبرداری از این دو آسیبپذیری دارند. مهاجمان تقریبا از آگوست 2023، زمانی که نسخه جدیدی از بات نت DreamBus با استفاده از اکسپلویت CVE-2023-33246 برای drop کردن ماینرهای XMRig Monero روی سرورهای آسیبپذیر مشاهده شد، سیستمهای آسیبپذیر Apache RocketMQ را جز اهداف قرار دادند.
توصیههای امنیتی
برای جلوگیری از خطرات احتمالی ناشی از آسیبپذیری CVE-2023-33246، به کاربران توصیه میشود، NameServer را به نسخه 5.1.1 یا بالاتر برای استفاده از RocketMQ نسخه 5.x یا به نسخه 4.9.6 یا بالاتر برای استفاده از RocketMQ نسخه 4.x ارتقا دهند.
و در آسیبپذیری CVE-2023-37582 باید NameServer را به نسخه 5.1.2 یا بالاتر برای استفاده از RocketMQ نسخه 5.x یا به نسخه 4.9.7 یا بالاتر برای استفاده از RocketMQ نسخه 4.x ارتقا دهند.
منابع خبر:
[1] https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to…
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-33246
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-37582
- 58