Bleeping Computer 網(wǎng)站消息，安全研究人員近期檢測到了數(shù)百個 IP 地址，這些地址掃描或試圖利用 Apache RocketMQ 服務(wù)中存在的遠程命令執(zhí)行漏洞 CVE-2023-33246 和 CVE-2023-37582。

這兩個安全漏洞的嚴重程度都很高，其中 CVE-2023-33246 漏洞主要影響包括 NameServer、Broker 和 Controller 等在內(nèi)的多個組件。

據(jù)悉，Apache 已經(jīng)發(fā)布了一個針對 RocketMQ 中 NameServer 組件的不完整修復(fù)程序，但 Apache RocketMQ 項目管理委員會成員 Rongtong Jin 警告稱，鑒于 CVE-2023-33246 漏洞問題在 5.1.1 版本中未得到完全修復(fù)，RocketMQ NameServer 組件中仍存在遠程命令執(zhí)行漏洞。

安全研究人員表示，在易受攻擊的網(wǎng)絡(luò)系統(tǒng)上，當 NameServer 的地址在未經(jīng)適當權(quán)限檢查的情況下在線暴露時，威脅攻擊者便可以利用 CVE-2023-33246 漏洞，使用 NameServer 上的更新配置功能來執(zhí)行任意命令。

此外，研究人員進一步指出，威脅攻擊者還能夠利用 CVE-2023-37582 安全漏洞，以 RocketMQ 正在運行的系統(tǒng)用戶身份執(zhí)行任意命令，建議將 RocketMQ 5.x/4.x 的 NameServer 升級到 5.1.2/4.9.7 或更高版本，以避免遭受網(wǎng)絡(luò)攻擊。

威脅跟蹤平臺 The ShadowServer Foundation 已記錄了數(shù)百個主機掃描在線暴露的 RocketMQ 系統(tǒng)，其中一些主機正在試圖利用 CVE-2023-33246 和 CVE-2023-37582 這兩個安全漏洞。ShadowServer 強調(diào)，它所觀察到的攻擊活動可能是潛在威脅攻擊者的偵查嘗試、利用行為，甚至是研究人員掃描暴露端點的一部分。

至少從 2023 年 8 月起，就有很對威脅攻擊者瞄準了易受攻擊的 Apache RocketMQ 系統(tǒng)，當時研究人員就已經(jīng)觀察了 DreamBus 僵尸網(wǎng)絡(luò)利用 CVE-2023-33246 安全漏洞，在易受攻擊的服務(wù)器上投放 XMRig Monero 礦機。

2023 年 9 月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）敦促聯(lián)邦機構(gòu)在當月底前修補 CVE-2023-33246漏洞，并就其活躍利用狀態(tài)發(fā)出了嚴重警告。

參考文章：https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to-rce-attacks/