هدف قرار گرفتن سرورهای آسیب‌پذیر Apache RocketMQ در برابر حملات RCE

هدف قرار گرفتن سرورهای آسیب‌پذیر Apache RocketMQ در برابر حملات RCE

تاریخ ایجاد

محققان امنیتی روزانه صدها آدرس IP را که دارای سرویس‌هایApache RocketMQ  آسیب‌پذیر در برابر حمله اجرای کد از راه دور، با شناسه‌های CVE-2023-33246 و CVE-2023-37582 هستند، اسکن و شناسایی می‌کنند. هر دو شناسه آسیب‌پذیر که دارای شدت بحرانی 9.8 هستند، پس از انتشار وصله اولیه در ماه می ۲۰۲۳ همچنان فعال باقی ماندند.
پس از بررسی شناسه آسیب‌پذیرCVE-2023-33246  مشخص شد چندین مؤلفه از جمله NameServer، Broker  وController  تحت تأثیر  این آسیب‌پذیری قرار دارند. آپاچی وصله‌ای را منتشر کرد که برای مؤلفه NameServer  در RocketMQ ناقص بود و همچنان بر نسخه‌های 5.1 و بالاتر از پلتفرم پیام‌رسانی و پخش توزیع شده (distributed messaging and streaming platform) تأثیر می‌گذاشت.
در خصوص آسیب‌پذیری CVE-2023-37582 هشداری از سمت مدیران پروژه Apache RocketMQ آمده است: مؤلفه RocketMQ NameServer  هنوز دارای آسیب‌پذیری اجرای کد از راه دور است زیرا آسیب‌پذیری  CVE-2023-33246  به‌طور کامل در نسخه 5.1.1 برطرف نشده است. در سیستم‌های آسیب‌پذیر، مهاجمان می‌توانند از این آسیب‌پذیری برای اجرای کد با استفاده از تابع پیکربندی به‌روزرسانی درNameServer ، زمانی که آدرس آن به صورت آنلاین، بدون بررسی مناسب مجوزها در معرض دید قرار می‌گیرد، بهره‌برداری کنند. زمانی که آدرس‌های NameServer در اکسترانت (extranet) افشا می‌شوند و فاقد مجوز تأیید شده هستند، یک مهاجم می‌تواند با استفاده از تابع پیکربندی به‌روزرسانی در مؤلفه NameServer  با اجرای دستورات به ‌عنوان کاربران سیستمی در RocketMQ (یا جعل محتوای پروتکل RocketMQ) این آسیب‌پذیری را مورد بهره‌برداری قرار دهند.
پلتفرم ShadowServer  صدها هاست (Hosts) را ثبت کرده است که سیستم‌های RocketMQ را به ‌صورت آنلاین اسکن کرده و برخی از آن‌ها سعی در بهره‌برداری از این دو آسیب‌پذیری دارند. مهاجمان تقریبا از آگوست 2023، زمانی که نسخه جدیدی از بات نت DreamBus با استفاده از اکسپلویت CVE-2023-33246 برای drop کردن ماینرهای XMRig Monero روی سرورهای آسیب‌پذیر مشاهده شد، سیستم‌های آسیب‌پذیر Apache RocketMQ را جز اهداف قرار دادند.

توصیه‌های امنیتی
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری CVE-2023-33246، به کاربران توصیه می‌شود، NameServer را به نسخه 5.1.1 یا بالاتر برای استفاده از RocketMQ نسخه 5.x یا به نسخه 4.9.6 یا بالاتر برای استفاده از RocketMQ نسخه 4.x ارتقا دهند.
و در آسیب‌پذیری CVE-2023-37582 باید NameServer را به نسخه 5.1.2 یا بالاتر برای استفاده از RocketMQ  نسخه 5.x یا به نسخه 4.9.7 یا بالاتر برای استفاده از RocketMQ  نسخه 4.x ارتقا دهند.

منابع خبر:


[1] https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to…
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-33246
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-37582