Скрытая угроза: Apache RocketMQ и уязвимость, которую не видит даже Shodan

Агентство кибербезопасности и защиты инфраструктуры США (CISA) добавило критическую уязвимость CVE-2023-33246 (CVSS: 9.8), влияющая на Apache RocketMQ, в свой каталог известных эксплуатируемых уязвимостей.

Некоторые компоненты Apache RocketMQ, включая NameServer, Broker и Controller, доступны из экстрасети и не имеют проверки разрешений. Злоумышленники могут использовать уязвимость для выполнения произвольных команд от имени пользователей системы, на которой работает RocketMQ. Хакер может вызвать ошибку, используя функцию обновления конфигурации или подделав содержимое протокола RocketMQ.

Уязвимость затрагивает Apache RocketMQ 5.1.0 и ниже, пользователям рекомендуется обновиться до версии 5.1.1 и выше для использования RocketMQ 5.x или 4.9.6 и выше для использования RocketMQ 4.x.

Рекомендации Apache были опубликованы в мае , но CISA добавила проблему в KEV после того, как ИБ-компания VulnCheck опубликовала технические подробности уязвимости. Согласно отчёту VulnCheck, недостаток CVE-2023-33246 позволяет удаленному неавторизованному злоумышленнику обновить конфигурацию брокера RocketMQ, чтобы злоупотребить внедрением команд. Отмечается, что эксплуатация ошибки продолжается с июня 2023 года.

Исследователи отметили, что использование уязвимости происходит через специальный протокол удаленного взаимодействия с портами брокера RocketMQ (по умолчанию 10909 и 10911). Ни Shodan, ни Censys не способны обнаружить этот протокол, что затрудняет определение фактического количества уязвимых систем.

Исследователи объяснили, что CVE-2023-33246 связан только с одним ботнетом, однако они полагают, что по крайней мере несколько злоумышленников активно используют недостаток в реальных условиях. Эксперты рекомендуют удалить экземпляр RocketMQ из Интернета и проверить конфигурацию брокера на наличие признаков эксплуатации. Также CISA поручило федеральным агентствам устранить уязвимость к 27 сентября 2023 года.