CVE-2019-17564:Apache Dubbo反序列化漏洞

iso60001  1765天前

22.png

近日,Apache公布了旗下Apache Dubbo的反序列化漏洞,Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。若存在漏洞的Apache Dubbo启用了HTTP协议(支持多协议),则攻击者可以通过发送恶意反序列化数据实现远程代码执行。

概况

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有5557个Dubbo服务对外开放。中国大陆使用数量最多,共有5176个,美国第二,共有194个,中国香港第三,共有66个,荷兰第四,共有37个,新加坡第五,共有27个。

全球范围内Dubbo服务分布情况如下(仅为分布情况,非漏洞影响情况)

33.png

中国大陆地区浙江省使用数量最多,共有3448个,北京市第二,共有1000个,广东省第三,共有208个,上海市第四,共有87个,山东省第五,共有54个。

44.png

危害等级

严重

漏洞原理

当用户选择启用HTTP协议进行通信时,Apache Dubbo在接受来自攻击者发出的含有恶意代码的POST请求时将执行反序列化操作,由于缺乏安全检查,因此可能导致远程代码执行。

启用HTTP协议的相关设置

<dubbo:protocol name="http" />

漏洞影响

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

CVE编号

CVE-2019-17564

修复建议

1.禁用HTTP协议

2.及时升级到2.7.5及以上版本,相关链接:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

参考

[1] https://www.anquanke.com/post/id/198754

[2] https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

[3] https://meterpreter.org/cve-2019-17564-apache-dubbo-deserialization-vulnerability-alert/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论