漏洞通告:
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露,缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。 此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
漏洞分析和复现
cloud.tencent.com/developer/a…
漏洞POC或EXP
漏洞攻击指纹
RocketMQ安装之后开放的端口是9876,10911,10912,10909
nameserver 9876
listenPort 10911
fastListenPort 10912
haListenPort 10909
fofa上的相关指纹:
app="APACHE-RocketMQ"
app="RocketMq-console-ng"
漏洞拦截缓解
1-发现9876,10911,10912,10909的端口,大概率就是使用了RocketMQ,外网禁止这几个端口的映射。
2-互联网扫描发现RocketMQ的服务,建议全放到内网。
3-及时更新到最新版本。
