Hackers apuntan a servidores Apache RocketMQ vulnerables a ataques RCE

Iniciado por AXCESS, Enero 05, 2024, 11:58:14 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 05, 2024, 11:58:14 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad detectan diariamente cientos de direcciones IP que escanean o intentan explotar los servicios de Apache RocketMQ vulnerables a una falla de ejecución remota de comandos identificada como CVE-2023-33246 y CVE-2023-37582.

Ambas vulnerabilidades tienen una puntuación de gravedad crítica y se refieren a un problema que permaneció activo después del parche inicial del proveedor en mayo de 2023.

Inicialmente, el problema de seguridad se rastreó como CVE-2023-33246 y afectó a varios componentes, incluidos NameServer, Broker y Controller.

Apache lanzó una solución que estaba incompleta para el componente NameServer en RocketMQ y continuó afectando las versiones 5.1 y anteriores de la plataforma de transmisión y mensajería distribuida.

"El componente RocketMQ NameServer todavía tiene una vulnerabilidad de ejecución remota de comandos ya que el problema CVE-2023-33246 no se solucionó completamente en la versión 5.1.1", se lee en una advertencia de Rongtong Jin, miembro del Comité de Gestión de Proyectos Apache RocketMQ.

En sistemas vulnerables, los atacantes pueden aprovechar la vulnerabilidad para ejecutar comandos utilizando la función de configuración de actualización en el NameServer cuando su dirección se expone en línea sin las comprobaciones de permisos adecuadas.

"Cuando las direcciones de NameServer se filtran en la extranet y carecen de verificación de permisos, un atacante puede explotar esta vulnerabilidad utilizando la función de configuración de actualización en el componente NameServer para ejecutar comandos como los usuarios del sistema que ejecuta RocketMQ", el investigador, que también explica un ingeniero de investigación y desarrollo de Alibaba.

El problema ahora se conoce como CVE-2023-37582 y se recomienda actualizar NameServer a la versión 5.1.2/4.9.7 o superior para RocketMQ 5.x/4.x para evitar ataques que aprovechen la vulnerabilidad.

La plataforma de seguimiento de amenazas The ShadowServer Foundation ha registrado cientos de hosts que escanean en busca de sistemas RocketMQ expuestos en línea, algunos de ellos intentando explotar las dos vulnerabilidades.

La organización señala que los ataques que rastrea "pueden incluir intentos de explotación de CVE-2023-33246 y CVE-2023-37582".

ShadowServer dice que la actividad que observa puede ser parte de intentos de reconocimiento de posibles atacantes, esfuerzos de explotación o incluso investigadores que buscan puntos finales expuestos.

Los piratas informáticos comenzaron a apuntar a sistemas Apache RocketMQ vulnerables desde al menos agosto de 2023, cuando se observó una nueva versión de la botnet DreamBus aprovechando un exploit CVE-2023-33246 para colocar mineros XMRig Monero en servidores vulnerables.

En septiembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó a las agencias federales a corregir la falla antes de fin de mes, advirtiendo sobre su estado de explotación activa.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario