CISA alerta sobre bug crítico no Apache RocketMQ explorado em ataques
8 de Setembro de 2023

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) um problema de gravidade crítica rastreado como CVE-2023-33246 que afeta a plataforma de mensagens distribuídas e streaming do Apache RocketMQ.

Vários agentes de ameaça possivelmente estão explorando a vulnerabilidade no momento para instalar vários payloads em sistemas impactados (versões do RocketMQ 5.1.0 e abaixo).

Explorar a vulnerabilidade é possível sem autenticação e tem sido aproveitado desde pelo menos junho pelos operadores do botnet DreamBus para implantar um minerador de criptomoeda Monero.

A CISA está alertando as agências federais que devem corrigir a vulnerabilidade CVE-2023-33246 para as instalações do Apache RocketMQ em seus sistemas até 27 de setembro.

Se a atualização do aplicativo para uma versão segura ou a mitigação do risco de alguma outra maneira não for possível, a CISA recomenda interromper o uso do produto.

A agência de segurança cibernética observa que um invasor pode explorar o problema "usando a função de atualização de configuração para executar comandos como os usuários do sistema que o RocketMQ está executando".

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) acrescenta que o resultado é o mesmo se um invasor forjar o conteúdo do protocolo RocketMQ.

O aviso da CISA sobre o CVE-2023-33246 vem depois que Jacob Baines, pesquisador da plataforma de inteligência de vulnerabilidade VulnCheck, publicou detalhes técnicos que explicam o problema de segurança.

Aproveitar o problema é possível porque vários componentes do RocketMQ que incluem NameServer, Broker e Controller, estão expostos na internet pública, tornando-os um alvo para hackers.

Tentando descobrir quantos potenciais alvos RocketMQ estão expostos online, o pesquisador procurou por hosts com a porta TCP 9876 usada pelo NameServer do RocketMQ e encontrou cerca de 4,500 sistemas.

Baines observa que a maioria dos sistemas estava concentrada em um país, o que poderia significar que muitos deles são honeypots criados por pesquisadores.

Ao analisar sistemas potencialmente vulneráveis, o pesquisador também descobriu "uma variedade de payloads maliciosos", sugerindo que vários agentes de ameaça estão explorando a vulnerabilidade.

Embora exibam comportamento suspeito, alguns dos executáveis [1, 2, 3, 4] largados após a exploração do RocketMQ atualmente não são detectados como maliciosos pelos mecanismos antivírus na plataforma de varredura de vírus Virus Total.

As condutas duvidosas das amostras em um sistema incluem a exclusão de si mesmas, a execução de comandos para modificar permissões, enumeração de processos, dumping de credenciais, leitura das chaves privadas SSH e do arquivo "known_hosts", codificação e criptografia de dados, e leitura do histórico do bash.

Baines diz que embora o CVE-2023-33246 tenha sido publicamente associado a apenas um adversário, existem pelo menos cinco atores explorando-o.

Uma atualização que aborda o problema está disponível e os usuários são recomendados a mudar para a versão mais recente do aplicativo.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...