探索网络安全新技术
攀登黑客技术最高峰

CVE-2023-33246:Apache RocketMQ 远程命令执行漏洞(含漏洞检测工具)

CVE-2023-33246:Apache RocketMQ 远程命令执行漏洞(含漏洞检测工具)-威武网安

漏洞概况

Apache RocketMQ是一款使用广泛的分布式消息中间件,既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。

近日,微步漏洞团队监测到Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246) 情报。攻击者可以通过该漏洞执行任意命令,导致系统被攻击与控制。

经过分析与研判,该漏洞利用难度低,漏洞细节已公开,可以远程命令执行,建议尽快修复。

漏洞描述

漏洞的官方描述为当RocketMQ多个组件,包括NameServer、Broker和Controller,都暴露在外网,并且缺乏有效的身份认证机制,那么攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。

经过深入分析,长亭科技应急响应实验室发现,官方的漏洞描述存在不准确之处。实际上,只要能访问到Broker服务且该服务未开启身份认证,就可实现远程命令执行,无需其他条件。

影响范围

RocketMQ < 4.9.6

RocketMQ < 5.1.1

漏洞检测

X-POC远程检测工具

XPOC检测

xpoc -r 99 目标IP:10911

其中99为本次应急PoC的编号,10911为 RocketMQ Broker 的默认端口,可根据具体端口开放情况进行修改。

或通过以下命令进行端口扫描并检测:

xpoc -r 99 -p 1-65535 目标IP

该命令可检出 RocketMQ Broker 存在的未授权访问情况。

XPOC工具下载

牧云专项检测

Apache RocketMQ 远程命令执行漏洞专项检测工具

解决方案

临时缓解方案

在conf/broker.conf中针对Broker服务添加身份认证,确保只有授权用户才能访问和操作RocketMQ的消息队列。

升级修复方案

使用RocketMQ 4.x版本的用户升级至4.9.6或以上版本。

使用RocketMQ 5.x版本的用户升级至5.1.1或以上版本。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《CVE-2023-33246:Apache RocketMQ 远程命令执行漏洞(含漏洞检测工具)》
文章链接:https://www.wevul.com/1335.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 1

  1. #1

    谢谢站长分享

    艾艾9个月前 (06-03)回复

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册