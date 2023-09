By

Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har identificeret en kritisk sårbarhed i Apaches RocketMQ distribuerede messaging- og streamingplatform. Sporet som CVE-2023-33246 giver denne sårbarhed trusselsaktører mulighed for at udnytte RocketMQ-installationer og implementere forskellige nyttelaster, herunder en Monero-kryptovaluta-miner. Problemet kan udnyttes uden godkendelse og er blevet udnyttet af operatørerne af DreamBus botnet siden mindst juni.

CISA råder føderale agenturer til at opdatere deres Apache RocketMQ-installationer til en sikker version eller afbryde brugen af ​​produktet, hvis afhjælpning ikke er mulig. Sårbarheden stammer fra en designfejl, der tillader angribere at udføre kommandoer som systembrugere af RocketMQ ved at bruge opdateringskonfigurationsfunktionen eller forfalske RocketMQ-protokolindholdet.

For yderligere at forstå virkningen af ​​denne sårbarhed gennemførte en forsker ved vulnerability intelligence platform VulnCheck, Jacob Baines, en scanning og fandt cirka 4,500 systemer med blotlagte RocketMQ-navneservere. Mens mange af disse systemer potentielt kunne være honeypots oprettet af forskere, opdagede Baines også forskellige ondsindede nyttelaster, hvilket tyder på involvering af flere trusselsaktører.

Selvom nogle af de eksekverbare filer, der er faldet efter at have udnyttet RocketMQ, viser mistænkelig adfærd, bliver de i øjeblikket ikke opdaget som ondsindede af antivirusmotorer på Virus Total-scanningsplatformen. Baines fremhæver, at mens kun én modstander er blevet offentligt forbundet med CVE-2023-33246, er der mindst fem aktører, der udnytter sårbarheden.

Brugere rådes kraftigt til at opdatere deres RocketMQ-installationer til den nyeste version, da en opdatering, der adresserer denne kritiske sårbarhed, er tilgængelig.

Kilder: CISA, NIST, Jacob Baines

Definitioner:

CVE-2023-33246: Common Vulnerabilities and Exposures (CVE)-id for den kritiske sårbarhed fundet i Apache RocketMQ

Apache RocketMQ: En distribueret meddelelses- og streamingplatform

Udnyttelse: Udnyttelse af en sårbarhed eller fejl i software til at få uautoriseret adgang eller udføre ondsindede handlinger

Nyttelast: En skadelig software eller kode, der leveres eller udføres efter udnyttelse af en sårbarhed

Cryptocurrency miner: Et program, der bruger beregningsressourcer til at mine kryptovalutaer såsom Monero

Honeypot: Et lokkesystem eller netværk designet til at tiltrække og fange potentielle angribere