L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) un problème de gravité critique identifié comme CVE-2023-33246 qui affecte la plateforme de messagerie et de streaming distribuée RocketMQ d’Apache.
Plusieurs acteurs malveillants exploitent probablement cette vulnérabilité pour le moment pour installer diverses charges utiles sur les systèmes concernés (RocketMQ versions 5.1.0 et inférieures).
L’exploitation de cette vulnérabilité est possible sans authentification et a été exploitée depuis au moins juin par les opérateurs du botnet DreamBus pour déployer un mineur de crypto-monnaie Monero.
Défaut de conception
La CISA avertit les agences fédérales qu’elles doivent corriger la vulnérabilité CVE-2023-33246 pour les installations Apache RocketMQ sur leurs systèmes d’ici le 27 septembre.
S’il n’est pas possible de mettre à jour l’application vers une version sûre ou d’atténuer les risques d’une autre manière, CISA recommande de cesser d’utiliser le produit.
L’agence de cybersécurité note qu’un attaquant peut exploiter le problème « en utilisant la fonction de configuration de mise à jour pour exécuter des commandes en tant qu’utilisateurs du système exécuté par RocketMQ ».
L’Institut national américain des normes et technologies (NIST) ajoute que le résultat est le même si un attaquant falsifie le contenu du protocole RocketMQ.
L’avertissement de CISA concernant CVE-2023-33246 intervient après que Jacob Baines, chercheur à la plateforme de renseignement sur les vulnérabilités VulnCheck, ait publié des détails techniques expliquant le problème de sécurité.
Il est possible d’exploiter ce problème car plusieurs composants RocketMQ, notamment NameServer, Broker et Controller, sont exposés sur l’Internet public, ce qui en fait une cible pour les pirates.
«Le courtier RocketMQ n’a jamais été destiné à être exposé à Internet. L’interface n’est pas sécurisée de par sa conception et offre une variété de fonctions administratives » – Jacob Baines
Charges utiles de plusieurs acteurs
En essayant de déterminer combien de cibles potentielles RocketMQ sont exposées en ligne, le chercheur a recherché des hôtes dotés du port TCP 9876 utilisé par le serveur de noms RocketMQ et a trouvé environ 4 500 systèmes.
Baines note que la plupart des systèmes étaient concentrés dans un seul pays, ce qui pourrait signifier que bon nombre d’entre eux sont des pots de miel mis en place par des chercheurs.
Lors de l’analyse des systèmes potentiellement vulnérables, le chercheur a également découvert « une variété de charges utiles malveillantes », ce qui suggère que plusieurs acteurs malveillants exploitent la vulnérabilité.
Bien qu’ils affichent un comportement suspect, certains des exécutables [1, 2, 3, 4] abandonnés après l’exploitation de RocketMQ ne sont actuellement pas détectés comme malveillants par les moteurs antivirus de la plateforme d’analyse Virus Total.
Le comportement douteux des échantillons sur un système inclut leur suppression, l’exécution de commandes pour modifier les autorisations, l’énumération des processus, le dump des informations d’identification, la lecture des clés privées SSH et du fichier « known_hosts », le codage et le cryptage des données et la lecture de l’historique bash.
Baines affirme que bien que CVE-2023-33246 ait été publiquement associé à un seul adversaire, au moins cinq acteurs l’exploitent.
Une mise à jour qui résout le problème est disponible et il est recommandé aux utilisateurs de passer à la dernière version de l’application.