2020年2月13日,華為云安全團(tuán)隊(duì)監(jiān)測(cè)到應(yīng)用廣泛的Apache Dubbo出現(xiàn)一個(gè)較為嚴(yán)重的漏洞:反序列化漏洞(漏洞編號(hào):CVE-2019-17564)。攻擊者利用該漏洞,可在目標(biāo)網(wǎng)站上遠(yuǎn)程執(zhí)行惡意代碼,最終導(dǎo)致網(wǎng)站被控制、數(shù)據(jù)泄露等。目前,華為云Web應(yīng)用防火墻(Web Application Firewall,WAF)提供了對(duì)該漏洞的防護(hù)。
一、漏洞原理
Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級(jí)的Java 遠(yuǎn)程調(diào)用分布式服務(wù)框架,支持多種通信協(xié)議。當(dāng)網(wǎng)站安裝了Apache Dubbo并且啟用http協(xié)議進(jìn)行通信時(shí),攻擊者可以向網(wǎng)站發(fā)送POST請(qǐng)求,在請(qǐng)求里可以執(zhí)行一個(gè)反序列化的操作,由于沒(méi)有任何安全校驗(yàn),這個(gè)反序列化過(guò)程可以執(zhí)行任意代碼。這里,序列化是指把某個(gè)編程對(duì)象轉(zhuǎn)換為字節(jié)序列的過(guò)程,而反序列化是指把字節(jié)序列恢復(fù)為某個(gè)編程對(duì)象的過(guò)程。
二、影響的版本范圍
漏洞影響的Apache Dubbo產(chǎn)品版本包括: 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。
三、防護(hù)方案
1、Apache Dubbo官方建議用戶網(wǎng)站升級(jí)到安全的2.7.5版本。
2、如無(wú)法快速升級(jí)版本,或希望防護(hù)更多其他漏洞,可使用華為云WAF內(nèi)置的防護(hù)規(guī)則對(duì)該漏洞進(jìn)行防護(hù),步驟如下:
1) 購(gòu)買WAF。
2) 將網(wǎng)站域名添加到WAF中并完成域名接入。
3) 將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式。
