Especialistas en ciberseguridad detectaron numerosas direcciones IP que escanean o intentan explotar los servicios de Apache RocketMQ vulnerables a una falla de ejecución remota identificada como CVE-2023-33246 y CVE-2023-37582 de gravedad crítica activa desde mayo de 2023.

Inicialmente, según una advertencia de Rongtong Jin, el problema de seguridad se rastreó como CVE-2023-33246  y afectó a varios componentes, incluidos NameServer, Broker y Controller. Si bien, Apache lanzó una solución para esta vulnerabilidad, la misma estaba incompleta para el componente NameServer en RocketMQ y continuó afectando las versiones 5.1 y anteriores de la plataforma de transmisión y mensajería distribuida.

En sistemas vulnerables, los atacantes pueden aprovechar la vulnerabilidad para ejecutar comandos utilizando la función de configuración de actualización en el NameServer cuando su dirección se expone en línea sin las comprobaciones de permisos adecuadas.

El problema ahora se conoce como CVE-2023-37582  y se recomienda actualizar NameServer a la versión 5.1.2/4.9.7 o superior para RocketMQ 5.x/4.x para evitar ataques que aprovechen la vulnerabilidad.

La plataforma de seguimiento de amenazas The ShadowServer Foundation ha registrado cientos de hosts que escanean en busca de sistemas RocketMQ expuestos en línea, algunos de ellos intentando explotar las dos vulnerabilidades.

La organización señala que los ataques que rastrea «pueden incluir intentos de explotación de CVE-2023-33246 y CVE-2023-37582«.

ShadowServer dice que la actividad que observa puede ser parte de intentos de reconocimiento de posibles atacantes, esfuerzos de explotación o incluso investigadores que buscan puntos finales expuestos.

En ese contexto, se supo que los ciberdelincuentes comenzaron a apuntar a sistemas Apache RocketMQ vulnerables desde por lo menos, agosto de 2023, cuando se observó una nueva versión de la botnet DreamBus aprovechando un exploit CVE-2023-33246 para colocar mineros XMRig Monero en servidores vulnerables, por tal motivo en septiembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó a las agencias federales a reparar la falla antes de fin de mes, advirtiendo sobre su estado de explotación activa.

Fuente

https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to-rce-attacks/