Introducción
Apache RocketMQ, una plataforma de procesamiento de datos distribuidos y middleware de mensajería ampliamente utilizada, ligera, de baja latencia, alta concurrencia, altamente disponible y muy fiable. Se ha encontrado con una vulnerabilidad que potencialmente podría exponer los sistemas al riesgo de ejecución remota de código, a saber, la vulnerabilidad de ejecución remota de código Apache RocketMQ 5.1.0, identificada con el número de referencia CVE-2023-33246, que ha suscitado una gran preocupación en el ámbito de la ciberseguridad.
Vulnerabilidad
La vulnerabilidad de ejecución remota de código de Apache RocketMQ 5.1.0 gira en torno a una secuencia de componentes interconectados dentro de la infraestructura RocketMQ.
Broker es responsable del almacenamiento, entrega y alta disponibilidad de los mensajes. Tras la inicialización, el nodo Broker se registra con el nodo NameServer. La clase DefaultMQAdminExt facilita la recuperación y modificación de la información de configuración pertinente interactuando con NameServer. La clase FilterServerManager se encarga de la gestión de los Filter Servers. Estos servidores se encargan de gestionar el registro, la actualización y la eliminación de las reglas de filtrado de mensajes. Además, evalúan y emparejan los filtros de mensajes. En el corazón de esta vulnerabilidad se encuentra el método callShell de la clase FilterServerUtil. Este método emplea Runtime.getRuntime().exec(cmdArray) para ejecutar comandos del sistema. Crucialmente, los comandos que se ejecutan provienen del parámetro shellString de esta función. Esto implica que si un atacante puede manipular el parámetro shellString del método callShell, puede potencialmente lograr la ejecución remota de código. Esto se debe a que el mecanismo de ejecución de comandos subyacente del método puede ser engañado para ejecutar comandos arbitrarios, lo que lleva a la ejecución remota de código arbitrario, con los riesgos asociados de violación de datos, acceso no autorizado al sistema, etc.
Versión afectada
5.0.0 <= Apache RocketMQ < 5.1.1
4.0.0 <= Apache RocketMQ < 4.9.6
Solución
Solución oficial: Para prevenir estos ataques, se recomienda a los usuarios actualizar a la versión 5.1.1 o superior para utilizar RocketMQ 5. X, y a la versión 4.9.6 o superior para utilizar RocketMQ 4. x. Por favor, visite:
https://rocketmq.apache.org/download/
Aplicación de la corrección
Actualice su base de datos de firmas IPS a la versión 3.0.165 y su base de datos de firmas AV a la versión 2.1.515 para asegurarse de que el Sistema de Prevención de Intrusiones (NIPS) y el Sistema de Detección de Brechas (BDS) de Hillstone Networks están equipados para detectar y proporcionar protección contra esta vulnerabilidad.
La inteligencia hotspot de esta vulnerabilidad está disponible en Hillstone Networks iSource también.