اخیرأ مهاجمان میتوانند از طریق باتنت Muhstik از آسیب پذیری Apache RocketMQ جهت گسترش حملات DDoS بهرهبرداری کنند. بدافزار Muhstik به دستگاههای IoT و سرورهای مبتنی بر لینوکس حمله کرده و منجر به آلودگی دستگاهها و استفاده از آنها جهت استخراج ارزهای رمز نگاری و انجام حملات DDoS خواهد شد. این بدافزار از آسیبپذیری با شناسه CVE-2023-33246 و شدت 9.8 در سرور Apache RocketMQ بهرهبرداری میکند تا با اجرای کد از راه دور و بدون احرازهویت، به دستگاههای آسیبپذیر نفوذ کند.
هنگامی که مهاجم از طریق نقص امنیتی مذکور، بطور موفقیتآمیز دسترسی اولیه به دستگاه آسیبپذیر را بدست آورد، اقدام به اجرای یک shell script خواهد کرد. بر اساس بردار حمله این آسیبپذیری: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد(UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تاثیر
سرویسهای مبتنی برلینوکس و Apache RocketMQ و سرورهای MS-SQL، تحت تأثیر این آسیبپذیری قرار میگیرند.
توصیه های امنیتی
توصیه میشود کاربران در اسرع وقت نسب به اعمال بهروزرسانی سرویسها و سرورهای Apache و MS-SQL و استفاده از رمزهای عبور قوی و مانیتورینگ و شناسایی فعالیتهای مشکوک و آموزش کارکنان اقدام نمایند.
منبع خبر:
https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html
- 72