Новости Скрытая угроза: Apache RocketMQ и уязвимость, которую не видит даже Shodan

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
CISA добавило в свой каталог уязвимость, которую нельзя игнорировать.


tusam5hx8fh47ftp5aqryrvfyhspwrzd.jpg


Агентство кибербезопасности и защиты инфраструктуры США ( CISA ) добавило критическую уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8), влияющая на Apache RocketMQ, в свой каталог известных эксплуатируемых уязвимостей.

Некоторые компоненты Apache RocketMQ, включая NameServer, Broker и Controller, доступны из экстрасети и не имеют проверки разрешений. Злоумышленники могут использовать уязвимость для выполнения произвольных команд от имени пользователей системы, на которой работает RocketMQ. Хакер может вызвать ошибку, используя функцию обновления конфигурации или подделав содержимое протокола RocketMQ.

Уязвимость затрагивает Apache RocketMQ 5.1.0 и ниже, пользователям рекомендуется обновиться до версии 5.1.1 и выше для использования RocketMQ 5.x или 4.9.6 и выше для использования RocketMQ 4.x.

Рекомендации Apache были опубликованы в Для просмотра ссылки Войди или Зарегистрируйся , но CISA Для просмотра ссылки Войди или Зарегистрируйся после того, как ИБ-компания VulnCheck опубликовала Для просмотра ссылки Войди или Зарегистрируйся уязвимости. Согласно отчёту VulnCheck, недостаток CVE-2023-33246 позволяет удаленному неавторизованному злоумышленнику обновить конфигурацию брокера RocketMQ, чтобы злоупотребить внедрением команд. Отмечается, что эксплуатация ошибки продолжается с июня 2023 года.

Исследователи отметили, что использование уязвимости происходит через специальный протокол удаленного взаимодействия с портами брокера RocketMQ (по умолчанию 10909 и 10911). Ни Shodan , ни Censys не способны обнаружить этот протокол, что затрудняет определение фактического количества уязвимых систем.

Исследователи объяснили, что CVE-2023-33246 связан только с одним ботнетом, однако они полагают, что по крайней мере несколько злоумышленников активно используют недостаток в реальных условиях. Эксперты рекомендуют удалить экземпляр RocketMQ из Интернета и проверить конфигурацию брокера на наличие признаков эксплуатации. Также CISA поручило федеральным агентствам устранить уязвимость к 27 сентября 2023 года.
 
Источник новости
www.securitylab.ru

Похожие темы