【安全通报】Apache Dubbo 多个预认证 RCE 漏洞(CVE-2021-36162&CVE-2021-36163)

fmbd  939天前

apachedubbo210901.png

近日,国外安全研究人员披露Apache Dubbo多个 预认证 RCE 漏洞详情,攻击者可利用该漏洞在漏洞主机上执行任意命令。目前漏洞PoC已公开。

漏洞描述

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。

CVE-2021-36162

Apache Dubbo存在 YAML 反序列化漏洞。能够访问配置中心的攻击者可以利用此漏洞远程执行任意代码。

CVE-2021-36163

Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。

CVE 编号

CVE-2021-36162
CVE-2021-36163

FOFA 查询

app="APACHE-dubbo"

影响范围

影响版本:

2.7.0 <= Apache Dubbo <= 2.7.12
3.0.0 <= Apache Dubbo <= 3.0.1

安全版本:

Apache Dubbo 2.7.13
Apache Dubbo 3.0.2

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="APACHE-dubbo")共有 13,023 个相关服务对外开放。中国使用数量最多,共有 11,009 个;美国第二,共有 606 个;新加坡第三,共有 421 个;中国香港第四,共有 316 个;南非第五,共有 198 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

global20210901.png.png

中国大陆地区广东使用数量最多,共有 291 个;北京第二,共有 174 个;山东第三,共有 152 个;江苏第四,共有 85 个;上海第五,共有 75 个。

country20210901.png

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Apache Dubbo 环境,可通过

docker pull vulfocus/dubbo-cve_2020_1948:latest
docker pull vulfocus/dubbo-cve_2019_17564:latest

进行拉取运行,也可通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

  1. 升级 Apache Dubbo 至最新版本。

  2. 利用请求白名单的方式限制 Apache Dubbo 相关端口。

参考

[1] https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

[2] https://mp.weixin.qq.com/s/YPKJl__4Ay8-i3CDh_9U7Q


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论