Les chercheurs en sécurité détectent quotidiennement des centaines d’adresses IP qui analysent ou tentent d’exploiter les services Apache RocketMQ vulnérables à une faille d’exécution de commande à distance identifiée comme CVE-2023-33246 et CVE-2023-37582.
Les deux vulnérabilités ont un score de gravité critique et font référence à un problème qui est resté actif après le correctif initial du fournisseur en mai 2023.
Initialement, le problème de sécurité était suivi sous le numéro CVE-2023-33246 et affectait plusieurs composants, notamment le serveur de noms, le courtier et le contrôleur.
Apache a publié un correctif incomplet pour le composant Serveur de noms dans RocketMQ et a continué à affecter les versions 5.1 et antérieures de la plate-forme de messagerie et de streaming distribuée.
« Le composant Serveur de noms RocketMQ présente toujours une vulnérabilité d’exécution de commandes à distance car le problème CVE-2023-33246 n’a pas été complètement résolu dans la version 5.1.1 », indique un avertissement de Rongtong Jin, membre du Comité de gestion de projet Apache RocketMQ.
Sur les systèmes vulnérables, les attaquants peuvent exploiter la vulnérabilité pour exécuter des commandes en utilisant la fonction de mise à jour de la configuration sur le serveur de noms lorsque son adresse est exposée en ligne sans vérification des autorisations appropriée.
« Lorsque des adresses de serveur de noms sont divulguées sur l’extranet et qu’il n’y a pas de vérification des autorisations, un attaquant peut exploiter cette vulnérabilité en utilisant la fonction de mise à jour de la configuration du composant Serveur de noms pour exécuter des commandes en tant qu’utilisateurs du système sous lesquels RocketMQ s’exécute », explique le chercheur, qui est également ingénieur en recherche et développement chez Alibaba.
Le problème est maintenant appelé CVE-2023-37582 et il est recommandé de mettre à niveau le serveur de noms vers la version 5.1.2/4.9.7 ou supérieure pour RocketMQ 5.x/4.x pour éviter les attaques exploitant la vulnérabilité.
Plateforme de suivi des menaces La Fondation ShadowServer a enregistré des centaines d’hôtes analysant les systèmes RocketMQ exposés en ligne, certains d’entre eux tentant d’exploiter les deux vulnérabilités.
L’organisation note que les attaques qu’elle suit « peuvent inclure des tentatives d’exploitation pour CVE-2023-33246 et CVE-2023-37582. »
ShadowServer indique que l’activité qu’il observe peut faire partie de tentatives de reconnaissance d’attaquants potentiels, d’efforts d’exploitation ou même de chercheurs recherchant des points de terminaison exposés.
Les pirates ont commencé à cibler les systèmes Apache RocketMQ vulnérables depuis au moins août 2023, lorsqu’une nouvelle version du botnet DreamBus a été observée en tirant parti d’un exploit CVE-2023-33246 pour déposer des mineurs XMRig Monero sur des serveurs vulnérables.
En septembre 2023, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a exhorté les agences fédérales à corriger la faille d’ici la fin du mois, mettant en garde contre son statut d’exploitation active.