นักวิจัยด้านความปลอดภัยตรวจพบ IP addresses หลายร้อยรายการในแต่ละวันได้ทำการสแกน หรือพยายามโจมตีช่องโหว่ของ Apache RocketMQ ที่มีความเสี่ยงต่อการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล RCE ที่มีหมายเลข CVE-2023-33246 และ CVE-2023-37582 โดยช่องโหว่ทั้ง 2 รายการมีความรุนแรงระดับ Critical ซึ่งยังพบการโจมตีอยู่ในปัจจุบัน แม้ว่าจะมีการออกอัปเดตเพื่อแก้ไขช่องโหว่มาแล้วในเดือนพฤษภาคม 2023
ในขั้นต้นช่องโหว่ CVE-2023-33246 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ส่งผลกระทบต่อองค์ประกอบหลายอย่าง รวมถึง NameServer, Broker และ Controller แต่ต่อมาทาง Apache พบว่าการออกอัปเดตเพื่อแก้ไขช่องโหว่ยังไม่สมบูรณ์สำหรับส่วนประกอบ NameServer ใน RocketMQ และยังคงส่งผลต่อเวอร์ชัน 5.1 และเก่ากว่าของ distributed messaging และ streaming platform ทำให้ Hacker สามารถใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งโดยใช้ฟังก์ชันการกำหนดค่าการอัปเดตบน NameServer ที่เข้าถึงจากอินเทอร์เน็ตได้โดยไม่มีการตรวจสอบสิทธิ์ที่เหมาะสม
แนะนำให้ผู้ดูแลระบบทำการอัปเดต NameServer เป็นเวอร์ชัน 5.1.2/4.9.7 หรือสูงกว่าสำหรับ RocketMQ 5.x/4.x เพื่อหลีกเลี่ยงการถูกโจมตีจากช่องโหว่ดังกล่าว
รวมถึง ShadowServer Foundation แพลตฟอร์มติดตามภัยคุกคาม ได้รายงานว่าพบ IP addresses หลายร้อยรายการได้สแกนหาระบบ RocketMQ ที่เข้าถึงจากอินเทอร์เน็ตได้ ซึ่งบางส่วนพยายามใช้ประโยชน์จากช่องโหว่ทั้งสองรายการนี้ในการโจมตีเครื่องเป้าหมาย
ทั้งนี้ ShadowServer ระบุว่าพฤติกรรมที่พบ อาจเป็นส่วนหนึ่งของความพยายามในการค้นหาช่องโหว่ (reconnaissance) และการพยายามโจมตีจาก Hacker หรือแม้แต่นักวิจัยที่กำลังสแกนหาเครื่องที่มีช่องโหว่
โดย Hacker ได้เริ่มกำหนดเป้าหมายการโจมตีไปยังระบบ Apache RocketMQ ที่มีช่องโหว่ตั้งแต่เดือนสิงหาคม 2023 ซึ่งทำให้พบ DreamBus Botnet เวอร์ชันใหม่ ซึ่งใช้ประโยชน์จาก CVE-2023-33246 ในการฝัง XMRig Monero miner บนเซิร์ฟเวอร์ที่มีช่องโหว่
ในเดือนกันยายน 2023 สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาได้เรียกร้องให้หน่วยงานรัฐบาลกลางเร่งแก้ไขช่องโหว่ดังกล่าวภายในสิ้นเดือนนี้ พร้อมแจ้งเตือนเกี่ยวกับการพบการมุ่งเป้าหมายการโจมตีโดยใช้ช่องโหว่ดังกล่าวที่ยังดำเนินการอยู่
ที่มา : bleepingcomputer
You must be logged in to post a comment.