作者:业余草
来源:https://www.xttblog.com/?p=4783
近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。
2020年2月13日,各云安全团队也监测到应用广泛的 Apache Dubbo 出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,各云服务厂商的 Web 应用防火墙(Web Application Firewall,WAF)都提供了对该漏洞的防护。
一、漏洞原理
Apache Dubbo 是一款应用广泛的高性能轻量级的 Java 远程调用分布式服务框架,支持多种通信协议。它的高性能和轻量级且开源的 Java RPC 框架深受国内用户喜爱。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。当网站安装了 Apache Dubbo 并且启用 http 协议进行通信时,攻击者可以向网站发送 POST 请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象(如 gadgets)转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。
二、漏洞详情
漏洞分析,开始跟踪
请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle
通过进一步跟踪发现其传入org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter 的readRemoteInvocation
在 org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中 post data 部分为 ois,全程并没有做任何安全过滤和检查,直接进行readObject方法
最终导致命令执行
三、影响的版本范围
漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。
四、防护方案
1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:
https://github.com/apache/dubbo/tree/dubbo-2.7.5。
2、如无法快速升级版本,或希望防护更多其他漏洞,可使用各云服务公司的 WA F内置的防护规则对该漏洞进行防护,步骤如下:
1) 购买 WAF。
2) 将网站域名添加到 WAF 中并完成域名接入。
3) 将 Web 基础防护的状态设置为“拦截”模式。
五、写在最后
你们公司用的是 Dubbo 还是 SpringCloud?如果用的是 Dubbo,又是哪个大版本呢(或者基于哪个大版本深度定制)?
