CVE-2019-17564：Apache Dubbo反序列化漏洞

近日，Apache公布了旗下Apache Dubbo的反序列化漏洞，Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。若存在漏洞的Apache Dubbo启用了HTTP协议（支持多协议），则攻击者可以通过发送恶意反序列化数据实现远程代码执行。

概况

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有5557个Dubbo服务对外开放。中国大陆使用数量最多，共有5176个，美国第二，共有194个，中国香港第三，共有66个，荷兰第四，共有37个，新加坡第五，共有27个。

全球范围内Dubbo服务分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江省使用数量最多，共有3448个，北京市第二，共有1000个，广东省第三，共有208个，上海市第四，共有87个，山东省第五，共有54个。

危害等级

严重

漏洞原理

当用户选择启用HTTP协议进行通信时，Apache Dubbo在接受来自攻击者发出的含有恶意代码的POST请求时将执行反序列化操作，由于缺乏安全检查，因此可能导致远程代码执行。

启用HTTP协议的相关设置

<dubbo:protocol name="http" />

漏洞影响

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

CVE编号

CVE-2019-17564

修复建议

1.禁用HTTP协议

2.及时升级到2.7.5及以上版本，相关链接：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

参考

[1] https://www.anquanke.com/post/id/198754

[2] https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

[3] https://meterpreter.org/cve-2019-17564-apache-dubbo-deserialization-vulnerability-alert/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。