CISA warns of critical Apache RocketMQ bug exploited in attacks

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、悪用された既知の脆弱性 (KEV) のカタログに、Apache の RocketMQ 分散メッセージングおよびストリーミング プラットフォームに影響を与える、CVE-2023-33246 として追跡される重大度の問題を追加しました。

現時点では複数の攻撃者がこの脆弱性を悪用し、影響を受けるシステム (RocketMQ バージョン 5.1.0 以下) にさまざまなペイロードをインストールしている可能性があります。

この脆弱性の悪用は認証なしで可能であり、 少なくとも 6 月以降、DreamBus ボットネットのオペレーターによって Monero 暗号通貨マイナーを導入するために悪用されてきました。

設計上の欠陥

CISAは連邦政府機関に対し、システム上のApache RocketMQインストールの脆弱性CVE-2023-33246に9月27日までにパッチを適用するよう警告している

アプリケーションを安全なバージョンに更新するか、他の方法でリスクを軽減することが不可能な場合、CISA は製品の使用を中止することを推奨します。

サイバーセキュリティ局は、攻撃者が「設定更新機能を使用して、RocketMQ が実行されているシステム ユーザーとしてコマンドを実行する」ことによってこの問題を悪用できる可能性があると指摘しています。

米国標準技術研究所 (NIST) は、攻撃者が RocketMQ プロトコルのコンテンツを偽造した場合でも結果は同じであると 付け加えています

CVE-2023-33246 に関する CISA の警告は、脆弱性インテリジェンス プラットフォーム VulnCheck の研究者であるJacob Bainesが、セキュリティ問題を説明する技術的な詳細を公開した後に発表されました。

NameServer、Broker、Controller を含む複数の RocketMQ コンポーネントが公共のインターネット上に公開され、ハッカーの標的になっているため、この問題を悪用することが可能です。

「RocketMQ ブローカーはインターネットに公開されることを意図したものではありませんでした。このインターフェイスは設計上安全ではなく、さまざまな管理機能を提供しています」 – Jacob Baines

複数のアクターからのペイロード

オンラインで公開されている潜在的な RocketMQ ターゲットの数を調べようとして、研究者は RocketMQ ネームサーバーが使用する TCP ポート 9876 を持つホストを探したところ、約 4,500 のシステムが見つかりました。

ベインズ氏は、システムのほとんどが 1 つの国に集中しており、これはシステムの多くが研究者によって設立されたハニーポットである可能性があると指摘しています

潜在的に脆弱なシステムをスキャンした際、研究者は「さまざまな悪意のあるペイロード」も発見し、複数の攻撃者がこの脆弱性を悪用していることを示唆しました。

これらは不審な動作を示しますが、 RocketMQの悪用後にドロップされた実行可能ファイルの一部 [ 1、2、3、4 ] は、現在 Virus Total スキャン プラットフォームのウイルス対策エンジンによって悪意のあるものとして検出されていません

システム上でのサンプルの疑わしい行為には、自身の削除、権限を変更するコマンドの実行、プロセスの列挙、認証情報のダンプ、SSH 秘密鍵と「known_hosts」ファイルの読み取り、データのエンコードと暗号化、bash 履歴の読み取りなどが含まれます。

Baines 氏は、CVE-2023-33246 は公に 1 人の攻撃者と関連付けられているだけですが、少なくとも 5 人の攻撃者がそれを悪用していると述べています。

この問題に対処するアップデートが提供されているため、ユーザーはアプリケーションの最新バージョンに切り替えることが推奨されます。