黑客在行动:利用两个已修复Apache RocketMQ RCE 漏洞侦察

阅读量42917

发布时间 : 2024-01-09 11:01:18

谁在寻找易受攻击的 Apache 系统?为什么?

ShadowServer 平台每天检测到数百个 IP 地址,这些地址扫描或试图利用包含远程代码执行 (RCE) 漏洞的Apache RocketMQ 服务,这些漏洞被标识为 CVE-2023-33246 和 CVE-2023-37582。这两个漏洞都很严重,并且与供应商于 2023 年 5 月发布第一个补丁后仍然存在的一个问题有关。

该安全问题最初被跟踪为 CVE-2023-33246 (CVSS 评分:9.8),影响多个组件,包括 NameServer、Broker 和 Controller。Apache 发布了修复程序,但对于 RocketMQ 中的 NameServer 组件来说并不完整,并且该 bug 继续影响 5.1 及更早版本。

Apache RocketMQ NameServer、Broker、Controller组件可以从外网访问,没有权限检查。网络犯罪分子可以利用该漏洞以运行 RocketMQ 的系统的用户身份执行任意命令。黑客可以通过使用配置更新功能或欺骗RocketMQ协议内容来导致错误。

该问题现为 CVE-2023-37582 (CVSS 评分:9.8)。建议用户将RocketMQ 5.x/4.x的NameServer更新到5.1.2/4.9.7或更高版本,以避免利用该漏洞进行攻击。

ShadowServer 基金会 记录了 超过 500 台主机扫描互联网上可用的 RocketMQ 系统,其中一些主机试图利用两个漏洞。大多数 检测到的主机 位于美国、中国、泰国和英国。ShadowServer 指出,观察到的活动可能是侦察尝试、利用工作或研究人员扫描暴露端点的活动的一部分。

至少从 2023 年 8 月起, 黑客 就一直瞄准易受攻击的 Apache RocketMQ 系统,当时发现新版本的 DreamBus 僵尸网络使用 CVE-2023-33246 漏洞在易受攻击的服务器上托管 XMRig 矿工。2023 年 9 月,美国网络安全和基础设施安全局 (CISA) 呼吁联邦机构在月底前修复该漏洞,并对其活跃的利用状态发出警告。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66