Pesquisadores de segurança estão detectando centenas de endereços IP diariamente que escaneiam ou tentam explorar serviços Apache RocketMQ vulneráveis a uma falha de execução remota de comandos identificada como CVE-2023-33246 e CVE-2023-37582.

Ambas as vulnerabilidades têm uma pontuação de gravidade crítica e se referem a um problema que permaneceu ativo após o patch inicial do fornecedor em maio de 2023. A Apache lançou uma correção que foi incompleta para o componente NameServer no RocketMQ e continuou afetando as versões 5.1 e anteriores da plataforma de mensagens e streaming distribuído.

“O componente NameServer do RocketMQ ainda tem uma vulnerabilidade de execução remota de comandos, pois o problema CVE-2023-33246 não foi completamente corrigido na versão 5.1.1”, lê-se em um aviso de Rongtong Jin, membro do Comitê de Gerenciamento de Projetos do Apache RocketMQ.

Em sistemas vulneráveis, os atacantes podem explorar a vulnerabilidade para executar comandos usando a função de atualização de configuração no NameServer quando seu endereço é exposto online sem verificações de permissão adequadas. A plataforma de rastreamento de ameaças The ShadowServer Foundation registrou centenas de hosts escaneando sistemas RocketMQ expostos online, alguns deles tentando explorar as duas vulnerabilidades.

A ShadowServer afirma que a atividade que observa pode ser parte de tentativas de reconhecimento de potenciais atacantes, esforços de exploração ou mesmo pesquisadores escaneando por endpoints expostos.