CVE-2023-37582 Apache RocketMQ NameServer远程代码执行漏洞

于 2023-12-21 11:23:23 发布
阅读量688 收藏 8
点赞数 8
分类专栏: 漏洞复现 文章标签: apache rocketmq spring java 后端 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mirocky/article/details/135126400
版权

上集回顾

CVE-2023-33246 RocketMQ RCE漏洞

影响版本

Apache RocketMQ NameServer 5.0.0 ~ 5.1.1
Apache RocketMQ NameServer 4.0.0 ~ 4.9.6

参考

https://xz.aliyun.com/t/12691

环境搭建

拉取镜像

docker pull apache/rocketmq:4.9.6
docker pull apacherocketmq/rocketmq-console:2.0.0

在这里插入图片描述

启动namesrv

docker run -d -p 9876:9876 -v /data/namesrv/logs:/root/logs\
 -v /data/namesrv/store:/root/store --name rmqnamesrv\
 -e "MAX_POSSIBLE_HEAP=100000000" apache/rocketmq:4.9.6 sh mqnamesrv

在这里插入图片描述

创建目录并配置broker文件

mkdir -p /mydata/rocketmq/conf/
vi /mydata/rocketmq/conf/broker.conf

粘贴以下内容

brokerClusterName = DefaultCluster 
brokerName = broker-a 
brokerId = 0 
deleteWhen = 04 
fileReservedTime = 48 
brokerRole = ASYNC_MASTER 
flushDiskType = SYNC_FLUSH
brokerIP1 = X.X.X.X    #主机IP

在这里插入图片描述

启动broker和console

docker run -d -p 10911:10911 -p 10909:10909 -v /data/broker/logs:/root/logs\
 -v /data/broker/store:/root/store\
 -v /mydata/rocketmq/conf/broker.conf:/opt/rocketmq/conf/broker.conf\
 --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876"\
 -e "MAX_POSSIBLE_HEAP=200000000" apache/rocketmq:4.9.6 sh mqbroker\
 -c /opt/rocketmq/conf/broker.conf

docker run -d --name rmqconsole -p 8899:8080 --link rmqnamesrv:namesrv\
 -e "JAVA_OPTS=-Drocketmq.namesrv.addr=10.88.80.135:9876\
 -Dcom.rocketmq.sendMessageWithVIPChannel=false"\
 -t apacherocketmq/rocketmq-console:2.0.0

访问页面

在这里插入图片描述

漏洞复现

EXP地址

https://github.com/coffeehb/Some-PoC-oR-ExP/blob/7296d25083dbef63f61f25c5a09977abb091f615/RocketMQ/CVE-2023-37582.py

使用方式

python3脚本执行

使用效果

在这里插入图片描述
在这里插入图片描述
我感觉就是一个任意文件写入,毕竟利用需要受害者去执行,所以CVE漏洞报告原文中也用的是"possible when using update"这种含糊不清的字眼。

漏洞原理

漏洞补丁为:
在这里插入图片描述

与CVE-2023-33246的修复相比,增加了configStorePath黑名单关键字。

从CVE-2023-33246中的update()起手:
在这里插入图片描述
persist()中使用string2File造成文件写入,第二个参数是filename:
在这里插入图片描述
getStorePath()中,返回值realStorePath由实例化的Field的path填充,而这个filed可以根据发送的body字段可控:
在这里插入图片描述

修复方式

升级到安全版本
Apache RocketMQ NameServer 5.1.2
Apache RocketMQ NameServer 4.9.7

连人
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
主流软件漏洞跟踪 Apache RocketMQ NameServer 远程代码执行漏洞CVE-2023-37582
简简单单Onlinezuozuo
08-29 230
主流软件漏洞跟踪 Apache RocketMQ NameServer 远程代码执行漏洞CVE-2023-37582
CVE-2023-37582 Apache RocketMQ 远程代码执行漏洞
蚁景网安学院
07-31 513
漏洞简介Apache RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。影响版本Apache RocketMQ <= 5.1.1Apach...
Apache RocketMQ 远程代码执行漏洞CVE-2023-37582
蚁景网安学院
07-31 546
Apache RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。
Apache RocketMQ远程命令执行漏洞CVE-2023-37582
holyxp的博客
07-14 3042
Apache RocketMQ是一款开源的分布式消息和流处理平台,提供高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务,注意风险。当RocketMQNameServer组件暴露在外网时,并且缺乏有效的身份认证机制时,攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。7.12日Apache RocketMQ发布严重安全提醒,披露远程命令执行漏洞CVE-2023-37582
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
最新发布
01-19
CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响的 NetScaler ADC 和 NetScaler Gateway 客户尽快安装相关的更新版本。 NetScaler ADC 和 ...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
RocketMq NameServer未授权访问导致远程代码执行CVE-2023-37582
whoami
07-14 2427
CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。{"code":0,"flag":1,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC" 字样,即表示RocketMq NameServer是未授权访问的,可能存在漏洞。以此向crotab写入可执行的定时命令。
CVE-2023-37582 Apache RocketMQ 更新配置远程代码执行漏洞
LJQClqjc的博客
07-20 430
RocketMQ 5.1.1及以上版本中,当RocketMQNameServer暴露在外网且缺乏权限验证时,恶意攻击者可以通过未授权访问利用更新配置功能以RocketMQ运行的系统用户身份上传含有特定内容的文件到任意目录。对这两个补丁进行分析发现,两个补丁分别是对不同版本的rocketmq进行修复,这里仅介绍5.1.1版本的修复补丁,补丁代码逻辑一致分别涉及NameServer、Broker、Controller组件,都是禁止修改相关配置文件路径。该文件权限是rocketmq启动时的用户权限。
Apache RocketMQ NameServer 远程代码执行漏洞CVE-2023-37582)分析
Yb528970805的博客
09-07 527
最后的返回的realStorePath在这里赋值,storePathFiled是一个Field实例化的类,这个类是用于反射的,看到它时configStorePath字段,所以这里全是就是获取的其实是storePathObject中configStorePath的值。这些都是我们在RocketMQ的协议中的body可以控制的,并且没有被过滤,过滤的properties为configStorePathName。最近,阿里云又发布了RocketMQ漏洞通告,因为才分析过这个漏洞,所以再来看一下。
RocketMQ5.0.0路由中心NameServer
爱我所爱0505
01-15 1307
介绍NameServer的注册中心作用,Broker定时任务发送心跳包给NameServerNameServer是消息存储Broker、生产者、消费者、从Broker的连接桥梁。
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 6240
网络安全-CVE - CIS 漏洞分析以及解决
RocketMQNameServer详解
Soldier_son的博客
04-10 5125
文章目录前言一、NameServer的作用二、NameServer启动过程1.启动类NamesrvStartup2.读入数据总结 前言 RocketMQ是阿里巴巴开源的一个顶级项目,高性能加上几乎能做到零丢失率让它在越来越多的企业项目中运用,这篇文章不会讲RocketMQ在项目中去如何使用,而是基于源码级别进行剖析讲解。首先来看看RocketMQ的架构图。 RocketMQ分为四个部分: 1、NameServer NameServerRocketMQ的路由中心,用于Broker服务的注册和发现,类似z
谷歌浏览器任意文件访问漏洞CVE-2023-4357)复现
fly夏天的博客
11-21 1386
谷歌浏览器任意文件访问漏洞CVE-2023-4357)复现
CVE-2023-33246 RocketMQ RCE漏洞
mirocky的博客
12-21 1133
RocketMQ是一款纯java、分布式、队列模型的开源消息中间件,主要用于在分布式系统中进行异步消息传递,支持事务消息、顺序消息、批量消息、定时消息、消息回溯等功能。RocketMQ有四个核心组成部分:NameServerRocketMQ的服务注册中心,用于保存Broker相关元信息;Broker:消息存储中心,接收并存储Producer的消息,Consumer从此处获得信息,Master节点可写可读,Slave节点不可写只可读;Producer:消息生产者;
RocketMQ源码分析之NameServer
热门推荐
中间件兴趣圈
07-17 1万+
1、RocketMQ组件概述 NameServer NameServer相当于配置中心,维护Broker集群、Broker信息、Broker存活信息、主题与队列信息等。NameServer彼此之间不通信,每个Broker与集群内所有的Nameserver保持长连接。 2、源码分析NameServer 本文不对 NameServer 与 Broker、Producer 集群、Cons...
CVE-2023-37582
07-28
回答: CVE-2023-37582是一个安全漏洞,由于对CVE-2023-33246修复不完善,在Apache RocketMQ NameServer存在未授权访问的情况下,攻击者可以构造恶意请求以RocketMQ运行的系统用户身份执行命令。\[1\]你可以在https://github.com/zan8in/afrog/blob/3af7b0e363611480d533a43645eae57e37e3846b/pocs/temp/afrog-pocs/cve/CVE-2023-37582.yaml#L4找到相关的测试脚本\[2\]\[3\]。 #### 引用[.reference_title] - *1* *2* *3* [RocketMq NameServer未授权访问导致远程代码执行CVE-2023-37582)](https://blog.csdn.net/weixin_42353842/article/details/131721421)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值