CISA advierte sobre un error crítico de Apache RocketMQ explotado en ataques

Iniciado por AXCESS, Septiembre 10, 2023, 12:28:36 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 10, 2023, 12:28:36 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado a su catálogo de vulnerabilidades explotadas conocidas (KEV) un problema de gravedad crítica rastreado como CVE-2023-33246 que afecta a la plataforma de transmisión y mensajería distribuida RocketMQ de Apache.

Es posible que varios actores de amenazas estén explotando la vulnerabilidad en este momento para instalar varias cargas útiles en los sistemas afectados (versiones RocketMQ 5.1.0 y anteriores).

Explotar la vulnerabilidad es posible sin autenticación y los operadores de la botnet DreamBus la han aprovechado desde al menos junio para implementar un minero de criptomonedas Monero.

Defecto de diseño

CISA advierte a las agencias federales que deben parchear la vulnerabilidad CVE-2023-33246 para las instalaciones de Apache RocketMQ en sus sistemas antes del 27 de septiembre.

Si no es posible actualizar la aplicación a una versión segura o mitigar el riesgo de alguna otra manera, CISA recomienda dejar de usar el producto.

La agencia de ciberseguridad señala que un atacante puede aprovechar el problema "utilizando la función de configuración de actualización para ejecutar comandos como usuarios del sistema que ejecuta RocketMQ".

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. agrega que el resultado es el mismo si un atacante falsifica el contenido del protocolo RocketMQ.

La advertencia de CISA sobre CVE-2023-33246 se produce después de que Jacob Baines, investigador de la plataforma de inteligencia de vulnerabilidades VulnCheck, publicara detalles técnicos que explican el problema de seguridad.

Es posible aprovechar el problema porque varios componentes de RocketMQ, que incluyen NameServer, Broker y Controller, están expuestos en la Internet pública, lo que los convierte en un objetivo para los piratas informáticos.

"El corredor RocketMQ nunca estuvo destinado a estar expuesto a Internet. La interfaz es insegura por diseño y ofrece una variedad de funciones administrativas" - Jacob Baines

Cargas útiles de múltiples actores

Al tratar de encontrar cuántos objetivos potenciales de RocketMQ están expuestos en línea, el investigador buscó hosts con el puerto TCP 9876 utilizado por el servidor de nombres RocketMQ y encontró alrededor de 4500 sistemas.

Baines señala que la mayoría de los sistemas se concentraron en un solo país, lo que podría significar que muchos de ellos son nidos creados por investigadores.

Al escanear sistemas potencialmente vulnerables, el investigador también descubrió "una variedad de cargas útiles maliciosas", lo que sugiere que múltiples actores de amenazas están explotando la vulnerabilidad.

Aunque muestran un comportamiento sospechoso, algunos de los ejecutables eliminados después de explotar RocketMQ actualmente no son detectados como maliciosos por los motores antivirus en la plataforma de escaneo Virus Total.

La conducta dudosa de las muestras en un sistema incluye eliminarse, ejecutar comandos para modificar permisos, enumerar procesos, deshacerse de credenciales, leer las claves privadas SSH y el archivo "known_hosts", codificar y cifrar datos y leer el historial de bash.

Baines dice que, aunque CVE-2023-33246 se ha asociado públicamente con un solo adversario, hay al menos cinco actores que lo explotan.

Hay disponible una actualización que soluciona el problema y se recomienda a los usuarios que cambien a la última versión de la aplicación.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario