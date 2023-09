A Axencia de Seguridade en Infraestruturas e Ciberseguridade dos Estados Unidos (CISA) identificou unha vulnerabilidade crítica na plataforma de transmisión e mensaxería distribuída RocketMQ de Apache. Rastrexada como CVE-2023-33246, esta vulnerabilidade permite aos axentes de ameazas explotar as instalacións de RocketMQ e despregar varias cargas útiles, incluíndo un mineiro de criptomonedas Monero. O problema pódese explotar sen autenticación e foi aproveitado polos operadores da botnet DreamBus desde polo menos xuño.

CISA aconsella ás axencias federais que actualicen as súas instalacións de Apache RocketMQ a unha versión segura ou que deixen de usar o produto se non é posible a mitigación. A vulnerabilidade deriva dun fallo de deseño que permite aos atacantes executar comandos como usuarios do sistema de RocketMQ utilizando a función de configuración de actualización ou falsificando o contido do protocolo RocketMQ.

Para comprender mellor o impacto desta vulnerabilidade, un investigador da plataforma de intelixencia de vulnerabilidades VulnCheck, Jacob Baines, realizou un exame e atopou aproximadamente 4,500 sistemas con servidores de nomes RocketMQ expostos. Aínda que moitos destes sistemas poderían ser honeypots creados por investigadores, Baines tamén descubriu varias cargas útiles maliciosas, o que suxire a participación de múltiples actores de ameaza.

Aínda que algúns dos executables caeron despois de explotar RocketMQ mostran un comportamento sospeitoso, actualmente non son detectados como maliciosos polos motores antivirus na plataforma de dixitalización de Virus Total. Baines destaca que, aínda que só un adversario foi asociado publicamente con CVE-2023-33246, hai polo menos cinco actores que explotan a vulnerabilidade.

Recoméndase encarecidamente aos usuarios que actualicen as súas instalacións de RocketMQ á versión máis recente, xa que hai unha actualización dispoñible para abordar esta vulnerabilidade crítica.

Fontes: CISA, NIST, Jacob Baines

Definicións:

CVE-2023-33246: identificador de vulnerabilidades e exposicións comúns (CVE) para a vulnerabilidade crítica atopada en Apache RocketMQ

Apache RocketMQ: unha plataforma distribuída de mensaxería e streaming

Explotación: aproveitar unha vulnerabilidade ou fallo do software para obter acceso non autorizado ou realizar accións maliciosas

Carga útil: un software ou código malicioso que se entrega ou se executa despois de explotar unha vulnerabilidade

Mineiro de criptomoedas: un programa que utiliza recursos computacionais para minar criptomoedas como Monero

Honeypot: un sistema ou rede de señuelo deseñada para atraer e atrapar potenciais atacantes