Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε στον κατάλογό της ένα νέο ευάλωτο σημείο με σοβαρό πρόβλημα, γνωστό ως ΚΕΒ (Γνωστά Εκμεταλλευόμενα Σημεία), γνωστό ως CVE-2023-33246. Αυτό το πρόβλημα επηρεάζει την πλατφόρμα ανταλλαγής μηνυμάτων και ροής της Apache RocketMQ και θεωρείται ιδιαίτερα κρίσιμο.

Δείτε επίσης: CISA: Προειδοποιεί για το κρίσιμο ελάττωμα του Citrix ShareFile

Το Apache RocketMQ, ένα ανοιχτού κώδικα σύστημα ανταλλαγής μηνυμάτων και ροής από την Apache Software Foundation, χρησιμοποιείται ευρέως λόγω των δυνατοτήτων του για ασφαλή, αξιόπιστη και διαρκή επικοινωνία. Ωστόσο, η πρόσφατη ανακάλυψη της σοβαρής ευπάθειας (CVE-2023-33246) στο RocketMQ έχει υπογραμμίσει τη σημασία της συνεχούς ενημέρωσης και συντήρησης των συστημάτων ασφαλείας για την προστασία από τις κυβερνοαπειλές.

Πολλοί κακόβουλοι παράγοντες πιθανώς να εκμεταλλευτούν την ευπάθεια αυτήν, προκειμένου να εγκαταστήσουν διάφορα επιβλαβή φορτία σε επηρεαζόμενα συστήματα (έκδοση RocketMQ 5.1.0 και νεότερες).

Η εκμετάλλευση της ευπάθειας μπορεί να γίνει χωρίς την απαραίτητη ταυτοποίηση και έχει χρησιμοποιηθεί από τον περασμένο Ιούνιο από τους χειριστές του botnet DreamBus προκειμένου να αναπτύξουν έναν εξορυκτή κρυπτονομισμάτων Monero.

Η CISA προειδοποιεί τις ομοσπονδιακές υπηρεσίες ότι θα πρέπει να διορθώσουν την ευπάθεια CVE-2023-33246 στις εγκαταστάσεις του Apache RocketMQ στα συστήματά τους έως την 27η Σεπτεμβρίου. Σε περίπτωση που δεν είναι δυνατή η αναβάθμιση της εφαρμογής σε μια ασφαλή έκδοση ή η μείωση του κινδύνου με άλλον τρόπο, η CISA προτείνει να σταματήσετε τη χρήση του προϊόντος.

Η υπηρεσία κυβερνοασφάλειας προειδοποιεί ότι ένας κακόβουλος εισβολέας μπορεί να εκμεταλλευτεί το πρόβλημα “χρησιμοποιώντας τη λειτουργία διαμόρφωσης ενημέρωσης για να εκτελέσει εντολές με τα δικαιώματα των χρηστών που εκτελούν το RocketMQ“.

Σύμφωνα με το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST), το αποτέλεσμα παραμένει το ίδιο ακόμη και αν ένας εισβολέας παραποιήσει το περιεχόμενο του πρωτοκόλλου RocketMQ.

Η προειδοποίηση της CISA για το CVE-2023-33246 ακολουθεί τη δημοσίευση τεχνικών λεπτομερειών από τον Jacob Baines, ερευνητή στην πλατφόρμα ευπαθειών VulnCheck. Αυτές οι λεπτομέρειες αναλύουν το πρόβλημα ασφαλείας που προκύπτει.

Δείτε ακόμα:
CISA: Νέο backdoor της Whirlpool χρησιμοποιείται σε hacks του Barracuda ESG

Η εκμετάλλευση του προβλήματος είναι εφικτή εξαιτίας του γεγονότος ότι πολλά στοιχεία του RocketMQ, όπως το NameServer, το Broker και το Controller, εκτίθενται στο διαδίκτυο. Αυτό τα καθιστά ευάλωτα στις επιθέσεις χάκερ.

Με σκοπό να εντοπίσει πόσοι δυνητικοί στόχοι του RocketMQ εκτίθενται στο διαδίκτυο, ο ερευνητής αναζήτησε κεντρικούς υπολογιστές που χρησιμοποιούν τη θύρα TCP 9876, η οποία χρησιμοποιείται από τον διακομιστή ονομάτων του RocketMQ. Κατά τη διαδικασία, εντόπισε περίπου 4.500 συστήματα. Ο Baines επισημαίνει ότι τα περισσότερα συστήματα ήταν συγκεντρωμένα σε μία χώρα. Αυτό μπορεί να υποδηλώνει ότι πολλά από αυτά είναι honeypots που έχουν δημιουργηθεί από ερευνητές.

Κατά την ανίχνευση πιθανώς ευάλωτων συστημάτων, ο ερευνητής ανακάλυψε επίσης “μια ποικιλία επιβλαβών ωφελίμων φορτίων”, υποδηλώνοντας ότι πολλοί παράγοντες απειλών εκμεταλλεύονται τις ευπάθειες.

Παρά την ύποπτη συμπεριφορά, ορισμένα από τα εκτελέσιμα που απορρίφθηκαν μετά την εκμετάλλευση του RocketMQ δεν αναγνωρίζονται προς το παρόν ως κακόβουλα από τις μηχανές προστασίας ιών στην πλατφόρμα σάρωσης Virus Total.

Η αμφίβολη συμπεριφορά των δειγμάτων σε ένα σύστημα περιλαμβάνει διάφορες ενέργειες, όπως τη διαγραφή τους, την εκτέλεση εντολών για την τροποποίηση των δικαιωμάτων, την απαρίθμηση διαδικασιών, την απόρριψη διαπιστευτηρίων, την ανάγνωση των ιδιωτικών κλειδιών SSH και του αρχείου “known_hosts”, καθώς και την κωδικοποίηση, κρυπτογράφηση δεδομένων και ανάγνωση του ιστορικού bash.

Δείτε επίσης: FBI, CISA και NSA: Κορυφαίες ευπάθειες του 2022

Ο Baines αναφέρει ότι υπάρχουν τουλάχιστον πέντε παράγοντες που εκμεταλλεύονται το CVE-2023-33246. Διατίθεται μια ενημέρωση που διορθώνει το πρόβλημα και συνιστάται στους χρήστες να αναβαθμίσουν στην πιο πρόσφατη έκδοση της εφαρμογής.