A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) um problema de gravidade crítica rastreado como
CVE-2023-33246
que afeta a plataforma de mensagens distribuídas e streaming do Apache RocketMQ.
Vários agentes de ameaça possivelmente estão explorando a vulnerabilidade no momento para instalar vários payloads em sistemas impactados (versões do RocketMQ 5.1.0 e abaixo).
Explorar a vulnerabilidade é possível sem autenticação e tem sido aproveitado desde pelo menos junho pelos operadores do botnet DreamBus para implantar um minerador de criptomoeda Monero.
A CISA está alertando as agências federais que devem corrigir a vulnerabilidade
CVE-2023-33246
para as instalações do Apache RocketMQ em seus sistemas até 27 de setembro.
Se a atualização do aplicativo para uma versão segura ou a mitigação do risco de alguma outra maneira não for possível, a CISA recomenda interromper o uso do produto.
A agência de segurança cibernética observa que um invasor pode explorar o problema "usando a função de atualização de configuração para executar comandos como os usuários do sistema que o RocketMQ está executando".
O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) acrescenta que o resultado é o mesmo se um invasor forjar o conteúdo do protocolo RocketMQ.
O aviso da CISA sobre o
CVE-2023-33246
vem depois que Jacob Baines, pesquisador da plataforma de inteligência de vulnerabilidade VulnCheck, publicou detalhes técnicos que explicam o problema de segurança.
Aproveitar o problema é possível porque vários componentes do RocketMQ que incluem NameServer, Broker e Controller, estão expostos na internet pública, tornando-os um alvo para hackers.
Tentando descobrir quantos potenciais alvos RocketMQ estão expostos online, o pesquisador procurou por hosts com a porta TCP 9876 usada pelo NameServer do RocketMQ e encontrou cerca de 4,500 sistemas.
Baines observa que a maioria dos sistemas estava concentrada em um país, o que poderia significar que muitos deles são honeypots criados por pesquisadores.
Ao analisar sistemas potencialmente vulneráveis, o pesquisador também descobriu "uma variedade de payloads maliciosos", sugerindo que vários agentes de ameaça estão explorando a vulnerabilidade.
Embora exibam comportamento suspeito, alguns dos executáveis [1, 2, 3, 4] largados após a exploração do RocketMQ atualmente não são detectados como maliciosos pelos mecanismos antivírus na plataforma de varredura de vírus Virus Total.
As condutas duvidosas das amostras em um sistema incluem a exclusão de si mesmas, a execução de comandos para modificar permissões, enumeração de processos, dumping de credenciais, leitura das chaves privadas SSH e do arquivo "known_hosts", codificação e criptografia de dados, e leitura do histórico do bash.
Baines diz que embora o
CVE-2023-33246
tenha sido publicamente associado a apenas um adversário, existem pelo menos cinco atores explorando-o.
Uma atualização que aborda o problema está disponível e os usuários são recomendados a mudar para a versão mais recente do aplicativo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...