风险提示｜Apache RocketMQ远程命令执行漏洞（CVE-2023-33246）

Apache RocketMQ是一个开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力。广泛应用于异步通信、应用解耦、系统集成、大数据、实时计算等场景。 \r

近日，长亭科技监测到RocketMQ发布新版本，修复了远程命令执行漏洞（CVE-2023-33246）。 \r

经过对漏洞的分析，我们发现公网上还有很多系统没有修复漏洞。根据该漏洞原理，应急团队编写了X-POC远程检测工具和牧云本地检测工具，并已开放给公众下载使用。 \r

考虑到检测该漏洞可能会对RocketMQ服务的可用性造成损害，因此本次X-POC的远程检测方法重点检测RocketMQ Broker组件中可能存在的未授权访问漏洞。这是远程命令执行的先决条件，并避免对服务可用性产生任何影响。同时，未经授权访问RocketMQ Broker组件可能会导致信息泄露、拒绝服务等危害，应认真对待。 \r

## **漏洞描述**\r

官方对该漏洞的描述是，当RocketMQ的多个组件（包括NameServer、Broker和Controller）暴露在互联网上且缺乏有效的身份验证机制时，攻击者可以利用更新配置功能以运行RocketMQ的系统用户身份执行命令。 \r

长汀科技应急实验室经过深入分析发现，官方漏洞描述存在不准确之处。事实上，只要能够访问Broker服务，并且不对该服务开启身份认证，就可以实现远程命令执行，无需其他条件。 \r

## **检测工具**\r

### **X-POC远程检测工具**\r

### **检测方法：**\r

\r

```bash\r

xpoc -r 99 目标IP:10911\r

````\r

\r

其中，99是本次紧急PoC的号码，10911是RocketMQ的默认端口，可以根据具体端口开放情况进行修改。 \r

\r

或者通过以下命令进行端口扫描和检测：\r

\r

```bash\r

xpoc -r 99 -p 1-65535 目标IP\r

````\r

\r

该命令可以检测对RocketMQ Broker的未经授权的访问。 \r

### **工具获取方式：**\r

- [https://github.com/chaitin/xpoc](https://github.com/chaitin/xpoc)\r

- [https://stack.chaitin.com/tool/detail?id=1036](https://stack.chaitin.com/tool/detail?id=1036)\r

### **牧云本地检测工具**\r

#### **检测方法：**\r

\r

在本地主机上执行以下命令进行扫描：\r

\r

```bash\r

./apache_rocketmq_cve_2023_33246_scanner_linux_amd64 \r

````\r

#### 如何获取该工具：\r

\r

复制链接，前往CT Stack安全社区下载牧云本地检测工具：\r

\r

[https://stack.chaitin.com/tool/detail?id=1172](https://stack.chaitin.com/tool/detail?id=1172)\r

\r

## **影响范围**\r

-`

-`

## **解决方案**\r

### **临时缓解解决方案**\r

在conf/broker.conf中添加Broker服务的身份认证，保证只有授权用户才能访问和操作RocketMQ的消息队列。 \r

### **升级修复解决方案**\r

\r

使用RocketMQ 4.x版本的用户请升级至4.9.6或以上版本。 \r

\r

使用RocketMQ 5.x版本的用户请升级至5.1.1及以上版本。 \r

\r

## **产品支持**\r

- 漏洞：支持自定义PoC检测该漏洞，自定义PoC已发布\r

- 云图：默认支持本产品的指纹识别，同时也支持该漏洞的PoC原理检测。 \r

- 知识全面：已发布规则升级包，支持该漏洞的检测以及利用行为的检测。 \r

## **时间轴**\r

- 5月23日，正式发布漏洞更新补丁版本\r

- 5月24日长汀应急实验室再次出现漏洞\r

- 5月30日，检测到POC已小范围泄露\r

- 6月1日，长汀发布应急响应公告\r

## **参考文献**\r

[https://www.cve.org/CVERecord?id=CVE-2023-33246](https://www.cve.org/CVERecord?id=CVE-2023-33246)