Hackers target Apache RocketMQ servers vulnerable to RCE attacks
2024/01/05 BleepingComputer — Apache RocketMQ サービスに存在するリモート・コマンド実行の脆弱性 CVE-2023-33246/CVE-2023-37582 を悪用するために、スキャンを試行する数百の IP アドレスが連日のように検出されている。どちらの脆弱性も、重大度スコアは critical と評価されており、ベンダーが 2023年5月に初期パッチを適用した後も、積極的に悪用されている。当初、このセキュリティ問題は CVE-2023-33246 として追跡され、NameServer/Broker/Controller を含む、複数のコンポーネントに影響を及ぼしていた。
Apache は、RocketMQ の NameServer コンポーネントに対する修正をリリースした。しかし、このリリースは不完全なものであり、この分散メッセージングおよびストリーミング・プラットフォームの、バージョン 5.1 以降に脆弱性が残るという状況が継続している。
Apache RocketMQ Project Management Committee のメンバーである Rongtong Jin は、「RocketMQ NameServer コンポーネントでは、CVE-2023-33246 の問題がバージョン 5.1.1 で完全に修正されておらず、リモート・コマンド実行の脆弱性が残っている」と警告している。
この脆弱性の悪用に成功した攻撃者は、適切な権限チェックなしに NameServer のアドレスがオンラインで公開されている場合に、脆弱性のあるシステム上で NameServer の更新設定機能を使用したコマンド実行が可能になる。
Alibaba の研究開発エンジニアでもある Rongtong Jin は、「この脆弱性の悪用に成功した攻撃者は、RocketMQ が実行されているシステム・ユーザーとしてのコマンド実行が可能になる。具体的には、NameServer のアドレスがエクストラネット上に流出して、パーミッションの確認が行われていない場合に、NameServer コンポーネントの更新設定機能を使用することで、悪用は達成される」と説明している。
現時点において、この問題は CVE-2023-37582 として追跡されている。この脆弱性の悪用を回避するためには、NameServer を RocketMQ 5.x/4.x 用のバージョン 5.1.2/4.9.7 以上にアップグレードすることが推奨されている。
脅威追跡プラットフォーム The ShadowServer Foundation は、オンラインで公開されている RocketMQ システムをスキャンする、数百のホストを観測している。そのうちのいくつかは、これら2つの脆弱性を悪用しようとしているという。
.png)
同団体は、「CVE-2023-33246 と CVE-2023-37582 に対する、悪用の試みの可能性がある」と指摘している。
ShadowServer によると、同団体が観測している活動が示唆するのは、潜在的な攻撃者からの偵察や悪用の試みの可能性となる。しかし、その一方で、露出したエンドポイントをスキャンする、研究者たちの活動の可能性もあるという。
脆弱な Apache RocketMQ システムがハッカーに標的にされ始めたのは、2023年8月以降だと見られている。同時期には、DreamBus ボットネットの新バージョンが、CVE-2023-33246 エクスプロイトを活用して、脆弱なサーバーに XMRig Monero マイナーを投下しているのが観測されていた。
また、2023年9月には、米国の CISA (Cybersecurity and Infrastructure Security Agency) が連邦政府機関に対して、2024年1月末までに、この脆弱性にパッチを当てるよう求め、悪用が活発な状態であることを警告していた。
この脆弱性 CVE-2023-33246 が、バージョン 5.1.1 で完全に修正されていなかったことで、新たに CVE-2023-37582 として採番され、バージョン 5.1.2/4.9.7 以上へのアップグレードが推奨されているとのことです。なお、2023/09/07 には「CISA KEV 警告 23/09/06:Apache RocketMQ の脆弱性 CVE-2023-33246」という記事をポストしていますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.