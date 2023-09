L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a identifié une vulnérabilité critique dans la plateforme de messagerie et de streaming distribuée RocketMQ d'Apache. Suivie comme CVE-2023-33246, cette vulnérabilité permet aux acteurs malveillants d'exploiter les installations de RocketMQ et de déployer diverses charges utiles, y compris un mineur de crypto-monnaie Monero. Le problème peut être exploité sans authentification et est exploité par les opérateurs du botnet DreamBus depuis au moins juin.

La CISA conseille aux agences fédérales de mettre à jour leurs installations Apache RocketMQ vers une version sécurisée ou d'arrêter l'utilisation du produit si l'atténuation n'est pas possible. La vulnérabilité provient d'un défaut de conception qui permet aux attaquants d'exécuter des commandes en tant qu'utilisateurs du système RocketMQ en utilisant la fonction de configuration de mise à jour ou en falsifiant le contenu du protocole RocketMQ.

Pour mieux comprendre l'impact de cette vulnérabilité, un chercheur de la plateforme de renseignement sur les vulnérabilités VulnCheck, Jacob Baines, a effectué une analyse et a trouvé environ 4,500 XNUMX systèmes avec des serveurs de noms RocketMQ exposés. Même si bon nombre de ces systèmes pourraient potentiellement être des pots de miel mis en place par des chercheurs, Baines a également découvert diverses charges utiles malveillantes, suggérant l'implication de plusieurs acteurs malveillants.

Bien que certains des exécutables abandonnés après l'exploitation de RocketMQ affichent un comportement suspect, ils ne sont actuellement pas détectés comme malveillants par les moteurs antivirus de la plateforme d'analyse Virus Total. Baines souligne que même si un seul adversaire a été publiquement associé à CVE-2023-33246, au moins cinq acteurs exploitent cette vulnérabilité.

Il est fortement conseillé aux utilisateurs de mettre à jour leurs installations RocketMQ vers la dernière version, car une mise à jour corrigeant cette vulnérabilité critique est disponible.

Sources : CISA, NIST, Jacob Baines

Définitions:

CVE-2023-33246 : Identifiant CVE (Common Vulnerabilities and Exposures) pour la vulnérabilité critique trouvée dans Apache RocketMQ

Apache RocketMQ : une plateforme de messagerie et de streaming distribuée

Exploiter : profiter d'une vulnérabilité ou d'une faille dans un logiciel pour obtenir un accès non autorisé ou effectuer des actions malveillantes.

Charge utile : logiciel ou code malveillant livré ou exécuté après l'exploitation d'une vulnérabilité.

Mineur de crypto-monnaie : programme qui utilise des ressources informatiques pour extraire des crypto-monnaies telles que Monero.

Honeypot : système ou réseau leurre conçu pour attirer et piéger les attaquants potentiels.