Bleeping Computer 網(wǎng)站消息，安全研究人員近期檢測(cè)到了數(shù)百個(gè) IP 地址，這些地址掃描或試圖利用 Apache RocketMQ 服務(wù)中存在的遠(yuǎn)程命令執(zhí)行漏洞 CVE-2023-33246 和 CVE-2023-37582。

這兩個(gè)安全漏洞的嚴(yán)重程度都很高，其中 CVE-2023-33246 漏洞主要影響包括 NameServer、Broker 和 Controller 等在內(nèi)的多個(gè)組件。

據(jù)悉，Apache 已經(jīng)發(fā)布了一個(gè)針對(duì) RocketMQ 中 NameServer 組件的不完整修復(fù)程序，但 Apache RocketMQ 項(xiàng)目管理委員會(huì)成員 Rongtong Jin 警告稱，鑒于 CVE-2023-33246 漏洞問(wèn)題在 5.1.1 版本中未得到完全修復(fù)，RocketMQ NameServer 組件中仍存在遠(yuǎn)程命令執(zhí)行漏洞。

安全研究人員表示，在易受攻擊的網(wǎng)絡(luò)系統(tǒng)上，當(dāng) NameServer 的地址在未經(jīng)適當(dāng)權(quán)限檢查的情況下在線暴露時(shí)，威脅攻擊者便可以利用 CVE-2023-33246 漏洞，使用 NameServer 上的更新配置功能來(lái)執(zhí)行任意命令。

此外，研究人員進(jìn)一步指出，威脅攻擊者還能夠利用 CVE-2023-37582 安全漏洞，以 RocketMQ 正在運(yùn)行的系統(tǒng)用戶身份執(zhí)行任意命令，建議將 RocketMQ 5.x/4.x 的 NameServer 升級(jí)到 5.1.2/4.9.7 或更高版本，以避免遭受網(wǎng)絡(luò)攻擊。

威脅跟蹤平臺(tái) The ShadowServer Foundation 已記錄了數(shù)百個(gè)主機(jī)掃描在線暴露的 RocketMQ 系統(tǒng)，其中一些主機(jī)正在試圖利用 CVE-2023-33246 和 CVE-2023-37582 這兩個(gè)安全漏洞。ShadowServer 強(qiáng)調(diào)，它所觀察到的攻擊活動(dòng)可能是潛在威脅攻擊者的偵查嘗試、利用行為，甚至是研究人員掃描暴露端點(diǎn)的一部分。

至少?gòu)?2023 年 8 月起，就有很對(duì)威脅攻擊者瞄準(zhǔn)了易受攻擊的 Apache RocketMQ 系統(tǒng)，當(dāng)時(shí)研究人員就已經(jīng)觀察了 DreamBus 僵尸網(wǎng)絡(luò)利用 CVE-2023-33246 安全漏洞，在易受攻擊的服務(wù)器上投放 XMRig Monero 礦機(jī)。

2023 年 9 月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）敦促聯(lián)邦機(jī)構(gòu)在當(dāng)月底前修補(bǔ) CVE-2023-33246漏洞，并就其活躍利用狀態(tài)發(fā)出了嚴(yán)重警告。

參考文章：https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to-rce-attacks/