Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Две RCE-уязвимости Apache RocketMQ остаются потенциальной целью для хакеров

09/01/24

hack145-2

Платформа ShadowServer ежедневно обнаруживает сотни IP-адресов, которые сканируют или пытаются использовать службы Apache RocketMQ, содержащие уязвимости удаленного выполнения кода (Remote Code Execution, RCE), обозначенные как CVE-2023-33246 и CVE-2023-37582. Обе уязвимости являются критическими и относятся к проблеме, которая оставалась активной после первого исправления, выпущенного поставщиком в мае 2023 года, пишет Securitylab.

Изначально проблема безопасности отслеживалась как CVE-2023-33246 (оценка CVSS: 9.8) и затрагивала несколько компонентов, включая NameServer, Broker и Controller. Apache выпустил исправление, но оно было неполным для компонента NameServer в RocketMQ, и ошибка продолжала влиять на версии 5.1 и более ранние.

Компоненты Apache RocketMQ NameServer, Broker и Controller доступны из экстрасети и не имеют проверки разрешений. Киберпреступник может использовать уязвимость для выполнения произвольных команд от имени пользователя системы, на которой работает RocketMQ. Хакер может вызвать ошибку, используя функцию обновления конфигурации или подделав содержимое протокола RocketMQ.

Проблема теперь имеет идентификатор CVE-2023-37582 (оценка CVSS: 9.8). Пользователям рекомендуется обновить NameServer до версии 5.1.2/4.9.7 или выше для RocketMQ 5.x/4.x, чтобы избежать атак, использующих эту уязвимость.

ShadowServer Foundation зарегистрировал более 500 хостов, сканирующих доступные в Интернете системы RocketMQ, некоторые из них пытались использовать две уязвимости. Большинство обнаруженных хостов располагаются в США, Китае, Таиланде и Великобритании. ShadowServer заявляет, что наблюдаемая активность может быть частью попыток разведки, эксплуатации или деятельности исследователей, сканирующих открытые конечные точки.

Хакеры начали атаковать уязвимые системы Apache RocketMQ по крайней мере с августа 2023 года, когда была замечена новая версия ботнета DreamBus, использующая эксплойт CVE-2023-33246 для размещения майнеров XMRig на уязвимых серверах. В сентябре 2023 года агентство кибербезопасности и защиты инфраструктуры США (CISA) призвало федеральные агентства исправить уязвимость до конца месяца, предупредив о статусе ее активной эксплуатации.

Темы:УгрозыApacheIP-адресаShadowServerrce-уязвимости
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...