Jetzt patchen! Attacken auf Messaging-Plattform Apache RocketMQ
Angreifer scannen derzeit vermehrt nach verwundbaren RocketMQ-Servern. Sicherheitsupdates stehen bereit.
(Bild: Artur Szczybylo/Shutterstock.com)
Sicherheitsforscher beobachten zurzeit Angriffsversuche auf die Messaging- und Streaming-Plattform Apache RocketMQ. Sicherheitsupdates sind bereits seit Mai 2023 verfügbar.
Die Sicherheitsupdates
Ihre Beobachtungen teilen Sicherheitsforscher von Shadowserver auf X. Ihren Statistiken zufolge finden die Scans weltweit statt – auch Deutschland ist davon betroffen. Die zwei anvisierten Sicherheitslücken (CVE-2023-33246, CVE-2023-37582) gelten als „kritisch“. Die erste Schwachstelle wurde zwar zeitnah gepatcht, doch das Sicherheitsupdate stellte sich als unvollständig heraus.
Im Juli 2023 folgte eine neue Kennzeichnung der Sicherheitslücke und ein funktionierender Patch. Die Entwickler geben an, die Plattform mit NameServer 5.1.2/4.9.7 für RocketMQ 5.x/4.x abgesichert zu haben. In ihrem Beitrag dazu stufen sie den Schweregrad als mäßig ein.
Die Schwachstellen
Das Sicherheitsproblem findet sich in den RocketMQ-Komponenten Broker, Controller und NameServer. Da diese im Extranet ohne Zugangskontrolle erreichbar sind, können Angreifer über die Update-Konfiguration eigene Befehle als Systemnutzer ausführen und so Systeme vollständig kompromittieren. Wie eine Attacke im Detail aussehen könnten, ist bislang nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Angriffe nicht übermäßig komplex sind.
Admins sollten zügig handeln und ihre RocketMQ-Server auf den aktuellen Stand bringen. Bereits im September 2023 riet die Cybersecurity & Infratstructure Security Agency (CISA) US-Behörden dringend dazu, die Sicherheitspatches zu installieren. Der Grund dafür waren Attacken mit einem Monero-Minning-Tool seit August vergangenen Jahres.
(des)
