技術編輯:徐九丨發自 思否辦公室
Fastjson 是阿里巴巴開源的一個 Java 庫,可以將 Java 對象轉換為 JSON 格式,當然它也可以將 JSON 字符串轉換為 Java 對象。fastjson 當前版本為 1.2.68 發布於 3 月底。
近日,阿里雲應急響應中心監測到 fastjson 爆發新的反序列化遠程代碼執行漏洞,黑客利用漏洞,可繞過 autoType 限制,直接遠程執行任意命令攻擊伺服器,風險極大。360 安全中心將該漏洞等級定為 「高危」。
1. 漏洞描述
fastjson 採用黑白名單的方法來防禦反序列化漏洞,導致當黑客不斷發掘新的反序列化 Gadgets 類時,在 autoType 關閉的情況下仍然可能可以繞過黑白名單防禦機制,造成遠程命令執行漏洞。經研究,該漏洞利用門檻較低,可繞過 autoType 限制,風險影響較大。阿里雲應急響應中心提醒 fastjson 用戶儘快採取安全措施阻止漏洞攻擊。
2. 影響版本
fastjson <=1.2.68
fastjson sec版本 <= sec9
android 版本不受此漏洞影響
3. 漏洞驗證
使用 JNDI 配合 RMI&LDAP 二階注入或者位元組碼本地注入即可。
位元組碼本地注入可以不受 JDK 修復限制且不受目標機器網絡環境限制,此種利用方式對於攻擊者更為有利。
對於該漏洞,官方建議升級到最新版本 1.2.69 或更新的 1.2.70 版本,來規避相關的風險。
項目地址:
https://github.com/alibaba/fastjson
fastjson 官方安全公告:
黑產與高危漏洞
隨著網絡技術不斷升級,網絡安全形勢日益嚴峻。近年來,數據泄漏、網絡敲詐等各類網絡安全事件頻發,給企業及社會發展帶來嚴重影響。而這些在網絡空間潛滋暗長的黑產,多數都與高危漏洞相關。
換句話說,利用軟體和硬體中存在的漏洞,已然成為黑產攻陷各系統的主要手段。
企業管理員或者項目負責人要隨時關注漏洞發現與修復公告,對於存在的漏洞應及時安裝補丁進行修復,避免被利用入侵,造成損失。
文章來源: https://twgreatdaily.com/zh-mo/MVGUfnIBd4Bm1__YSE53.html