امنیت

January 8, 2024
8:46 دوشنبه، 18ام دیماه 1402
کد خبر: 157157

هدف قرار گرفتن سرورهای آسیب‌پذیر Apache RocketMQ در برابر حملات RCE

منبع: ماهر

محققان امنیتی روزانه صدها آدرس IP را که دارای سرویس‌هایApache RocketMQ آسیب‌پذیر در برابر حمله اجرای کد از راه دور، با شناسه‌های CVE-2023-33246 و CVE-2023-37582 هستند، اسکن و شناسایی می‌کنند. هر دو شناسه آسیب‌پذیر که دارای شدت بحرانی 9.8 هستند، پس از انتشار وصله اولیه در ماه می ۲۰۲۳ همچنان فعال باقی ماندند.
پس از بررسی شناسه آسیب‌پذیرCVE-2023-33246 مشخص شد چندین مؤلفه از جمله NameServer، Broker وController تحت تأثیر این آسیب‌پذیری قرار دارند. آپاچی وصله‌ای را منتشر کرد که برای مؤلفه NameServer در RocketMQ ناقص بود و همچنان بر نسخه‌های 5.1 و بالاتر از پلتفرم پیام‌رسانی و پخش توزیع شده (distributed messaging and streaming platform) تأثیر می‌گذاشت.
در خصوص آسیب‌پذیری CVE-2023-37582 هشداری از سمت مدیران پروژه Apache RocketMQ آمده است: مؤلفه RocketMQ NameServer هنوز دارای آسیب‌پذیری اجرای کد از راه دور است زیرا آسیب‌پذیری CVE-2023-33246 به‌طور کامل در نسخه 5.1.1 برطرف نشده است. در سیستم‌های آسیب‌پذیر، مهاجمان می‌توانند از این آسیب‌پذیری برای اجرای کد با استفاده از تابع پیکربندی به‌روزرسانی درNameServer ، زمانی که آدرس آن به صورت آنلاین، بدون بررسی مناسب مجوزها در معرض دید قرار می‌گیرد، بهره‌برداری کنند. زمانی که آدرس‌های NameServer در اکسترانت (extranet) افشا می‌شوند و فاقد مجوز تأیید شده هستند، یک مهاجم می‌تواند با استفاده از تابع پیکربندی به‌روزرسانی در مؤلفه NameServer با اجرای دستورات به ‌عنوان کاربران سیستمی در RocketMQ (یا جعل محتوای پروتکل RocketMQ) این آسیب‌پذیری را مورد بهره‌برداری قرار دهند.
پلتفرم ShadowServer صدها هاست (Hosts) را ثبت کرده است که سیستم‌های RocketMQ را به ‌صورت آنلاین اسکن کرده و برخی از آن‌ها سعی در بهره‌برداری از این دو آسیب‌پذیری دارند. مهاجمان تقریبا از آگوست 2023، زمانی که نسخه جدیدی از بات نت DreamBus با استفاده از اکسپلویت CVE-2023-33246 برای drop کردن ماینرهای XMRig Monero روی سرورهای آسیب‌پذیر مشاهده شد، سیستم‌های آسیب‌پذیر Apache RocketMQ را جز اهداف قرار دادند.

توصیه‌های امنیتی
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری CVE-2023-33246، به کاربران توصیه می‌شود، NameServer را به نسخه 5.1.1 یا بالاتر برای استفاده از RocketMQ نسخه 5.x یا به نسخه 4.9.6 یا بالاتر برای استفاده از RocketMQ نسخه 4.x ارتقا دهند.
و در آسیب‌پذیری CVE-2023-37582 باید NameServer را به نسخه 5.1.2 یا بالاتر برای استفاده از RocketMQ نسخه 5.x یا به نسخه 4.9.7 یا بالاتر برای استفاده از RocketMQ نسخه 4.x ارتقا دهند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.