CISA KEV 警告 23/09/06:Apache RocketMQ の脆弱性 CVE-2023-33246

CISA warns of critical Apache RocketMQ bug exploited in attacks

2023/09/07: BleepingComputer — Apache の RocketMQ 分散メッセージング/ストリーミング・プラットフォームに影響を及ぼす、深刻度の高い脆弱性 CVE-2023-33246 が、米国 CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。現時点において。この脆弱性を悪用する複数の脅威アクターたちが、影響を受けたシステムの構成要素である RocketMQ バージョン 5.1.0 以下に、各種のペイロードをインストールしている可能性があるという。


この脆弱性は、認証を必要とせずに悪用が可能であり、遅くとも 2023年6月以降において、DreamBus ボットネットの運営者により、Monero 暗号通貨マイナーの展開のために悪用されているという。

設計上の欠陥

それぞれの連邦政府機関に対して CISA は、Apache RocketMQ をインストールしたシステムに存在する脆弱性 CVE-2023-33246 に対して、9月27日までにパッチを適用するよう警告している。

また、CISA は、アプリケーションを安全なバージョンに更新できない場合や、他の方法でリスクを軽減することが不可能な場合には、Apache RocketMQ の使用を中止することを推奨している。

CISA は、「この問題を、攻撃者が悪用する可能性だが、コンフィグレーション機能を介して、RocketMQ が実行されているシステム・ユーザーとして、コマンドを実行することが可能になる」と指摘している。

その一方で NIST は、攻撃者が RocketMQ プロトコルの内容を偽造しても、同じ結果が生じると付け加えている。

先日に、脆弱性情報プラットフォーム VulnCheck の研究者である Jacob Baines が、脆弱性 CVE-2023-33246 に関する技術的な詳細を発表したことを受けて、CISA による警告が発せられている。

この脆弱性の悪用が懸念されるのは、RocketMQ コンポーネントである NameServer/Broker/Controller などが、パブリックなインターネット上で公開されており、ハッカーの標的になっているためだ。

Jacob Baines は、「RocketMQ ブローカーは、インターネット上に公開されることを意図していない。したがって、さまざまな管理機能を提供するインターフェースは、セキュアな設計になっていない」と述べている。

複数のアクターからのペイロード

RocketMQ の潜在的なターゲットのネット上への露出を調べるために、RocketMQ ネームサーバが用いる TCP ポート 9876 を持つホストを探したところ、約 4,500のシステムが見つかったという。ただし Jacob Baines は、システムの大半が1つの国に集中しており、その多くがハニーポットであり、研究者により設置されたという可能性も指摘している。

彼は、「脆弱性を持つ可能性があるシステムをスキャンしたところ、さまざまな悪意のあるペイロードが発見されている。つまり、この脆弱性を、複数の脅威アクターが悪用していることが示唆される」と述べている。

RocketMQ の脆弱性を悪用してドロップされた、実行ファイル [1234] の一部が不審な挙動を示しているが、現時点においては、Virus Total スキャン・プラットフォームのウイルス対策エンジンにより悪意のものとして検出されていない。

標的システム上でのサンプルの怪しげな行為として挙げられるのは、自身の削除/パーミッションの変更/プロセスの列挙/認証情報のダンプ/SSH 秘密鍵の読取り/known_hosts ファイルの読み取り/データのエンコードと暗号化/bash 履歴の読み取りなどである。

Baines によると、公表されているところでは、脆弱性 CVE-2023-33246 に関連する敵対者は1人であるが、この問題を悪用している脅威アクターは少なくとも5人はいるという。

この問題に対処するアップデートが提供されているため、ユーザーに対して推奨されrの葉、最新版のアプリケーションに切り替えとなる。

Apache の RocketMQ の脆弱性 CVE-2023-33246 が、CISA の KEV カタログに追加されました。お隣のキュレーション・チームに聞いてみたところ、この脆弱性は 6月1日付で拾われていて、CVSS 値は 9.8 とのことです。よろしければ、Apache で検索も、ご利用ください。