谁在寻找易受攻击的 Apache 系统？为什么？

ShadowServer 平台每天检测到数百个 IP 地址，这些地址扫描或试图利用包含远程代码执行 (RCE) 漏洞的Apache RocketMQ 服务，这些漏洞被标识为 CVE-2023-33246 和 CVE-2023-37582。这两个漏洞都很严重，并且与供应商于 2023 年 5 月发布第一个补丁后仍然存在的一个问题有关。

该安全问题最初被跟踪为 CVE-2023-33246 （CVSS 评分：9.8），影响多个组件，包括 NameServer、Broker 和 Controller。Apache 发布了修复程序，但对于 RocketMQ 中的 NameServer 组件来说并不完整，并且该 bug 继续影响 5.1 及更早版本。

Apache RocketMQ NameServer、Broker、Controller组件可以从外网访问，没有权限检查。网络犯罪分子可以利用该漏洞以运行 RocketMQ 的系统的用户身份执行任意命令。黑客可以通过使用配置更新功能或欺骗RocketMQ协议内容来导致错误。

该问题现为 CVE-2023-37582 （CVSS 评分：9.8）。建议用户将RocketMQ 5.x/4.x的NameServer更新到5.1.2/4.9.7或更高版本，以避免利用该漏洞进行攻击。

ShadowServer 基金会 记录了 超过 500 台主机扫描互联网上可用的 RocketMQ 系统，其中一些主机试图利用两个漏洞。大多数 检测到的主机 位于美国、中国、泰国和英国。ShadowServer 指出，观察到的活动可能是侦察尝试、利用工作或研究人员扫描暴露端点的活动的一部分。

至少从 2023 年 8 月起， 黑客 就一直瞄准易受攻击的 Apache RocketMQ 系统，当时发现新版本的 DreamBus 僵尸网络使用 CVE-2023-33246 漏洞在易受攻击的服务器上托管 XMRig 矿工。2023 年 9 月，美国网络安全和基础设施安全局 (CISA) 呼吁联邦机构在月底前修复该漏洞，并对其活跃的利用状态发出警告。