漏洞的官方描述为当RocketMQ多个组件,包括NameServer、Broker和Controller,都暴露在外网,并且缺乏有效的身份认证机制,那么攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。
X-POC远程检测工具
检测方法:
xpoc -r 99 目标IP:10911 其中99为本次应急PoC的编号,10911为 RocketMQ Broker 的默认端口,可根据具体端口开放情况进行修改。
或通过以下命令进行端口扫描并检测:
xpoc -r 99 -p 1-65535 目标IP该命令可检出 RocketMQ Broker 存在的未授权访问情况。
牧云本地检测工具
检测方法:
在本地主机上执行以下命令即可扫描:
./apache_rocketmq_cve_2023_33246_scanner_linux_amd64工具获取方式:
<RocketMQ 4.9.6
<RocketMQ 5.1.1
临时缓解方案
在conf/broker.conf中针对Broker服务添加身份认证,确保只有授权用户才能访问和操作RocketMQ的消息队列。
升级修复方案
使用RocketMQ 4.x版本的用户升级至4.9.6或以上版本。
洞鉴:支持以自定义PoC的方式检测该漏洞,已发布自定义PoC
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
全悉:已发布规则升级包,支持该漏洞探测、利用行为的检测。
5月23日 官方发布漏洞更新补丁版本
5月24日 长亭应急响应实验室复现漏洞
5月30日 监测到POC已被小范围公开
6月1日 长亭发布应急响应通告
参考资料:
✦ https://www.cve.org/CVERecord?id=CVE-2023-33246
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24销售,守护您的安全
第一时间找到我们:
邮箱:support@chaitin.com
应急响应热线:4000-327-707