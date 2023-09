De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid geïdentificeerd in het gedistribueerde berichten- en streamingplatform RocketMQ van Apache. Dit beveiligingslek, dat wordt bijgehouden als CVE-2023-33246, stelt cybercriminelen in staat RocketMQ-installaties te misbruiken en verschillende payloads in te zetten, waaronder een Monero-cryptocurrency-miner. Het probleem kan zonder authenticatie worden uitgebuit en wordt al sinds juni misbruikt door de exploitanten van het DreamBus-botnet.

CISA adviseert federale instanties om hun Apache RocketMQ-installaties bij te werken naar een veilige versie of om het gebruik van het product te staken als mitigatie niet mogelijk is. Het beveiligingslek komt voort uit een ontwerpfout waardoor aanvallers opdrachten kunnen uitvoeren als systeemgebruikers van RocketMQ door gebruik te maken van de updateconfiguratiefunctie of door de inhoud van het RocketMQ-protocol te vervalsen.

Om de impact van dit beveiligingslek verder te begrijpen, voerde een onderzoeker van het kwetsbaarheidsinformatieplatform VulnCheck, Jacob Baines, een scan uit en vond ongeveer 4,500 systemen met blootgestelde RocketMQ-naamservers. Hoewel veel van deze systemen mogelijk door onderzoekers opgezette honeypots zouden kunnen zijn, ontdekte Baines ook verschillende kwaadaardige ladingen, wat erop wijst dat er meerdere dreigingsactoren bij betrokken zijn.

Hoewel sommige uitvoerbare bestanden die zijn verwijderd na misbruik van RocketMQ verdacht gedrag vertonen, worden ze momenteel niet als schadelijk gedetecteerd door antivirusprogramma's op het Virus Total-scanplatform. Baines benadrukt dat hoewel slechts één tegenstander publiekelijk in verband is gebracht met CVE-2023-33246, er minstens vijf actoren zijn die de kwetsbaarheid misbruiken.

Gebruikers wordt ten zeerste aangeraden hun RocketMQ-installaties bij te werken naar de nieuwste versie, aangezien er een update beschikbaar is die deze kritieke kwetsbaarheid verhelpt.

Bronnen: CISA, NIST, Jacob Baines

Definities:

CVE-2023-33246: Common Vulnerabilities and Exposures (CVE)-identificatiecode voor de kritieke kwetsbaarheid gevonden in Apache RocketMQ

Apache RocketMQ: een gedistribueerd berichten- en streamingplatform

Exploit: misbruik maken van een kwetsbaarheid of fout in software om ongeoorloofde toegang te verkrijgen of kwaadwillige acties uit te voeren

Payload: Kwaadaardige software of code die wordt geleverd of uitgevoerd na misbruik van een kwetsbaarheid

Cryptocurrency miner: Een programma dat computerbronnen gebruikt om cryptocurrencies zoals Monero te minen

Honeypot: Een loksysteem of netwerk dat is ontworpen om potentiële aanvallers aan te trekken en in de val te lokken