2020年6月29日,阿裡雲應急響應中心監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞更新檔存在缺陷,可以繞過原有更新檔并執行任意指令。
針對這一情況,阿裡雲預設防禦已啟動緊急響應,為阿裡雲上受影響客戶免費提供一個月的虛拟更新檔幫助緩解該漏洞的影響,建議利用這個期間盡快完成漏洞修複,避免該漏洞被利用造成資料、資産的損失。
時間線
- 2020.06.23 監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞
- 2020.06.29 監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞 更新檔繞過
漏洞描述
Apache Dubbo是一種基于Java的高性能RPC架構。Apache Dubbo官方披露在Dubbo Provider中存在一個反序列化遠端代碼執行漏洞(CVE-2020-1948),攻擊者可以構造并發送帶有惡意參數負載的RPC請求,當惡意參數被反序列化時将導緻遠端代碼執行。
目前,2.7.7版本的官方更新檔中存在缺陷,攻擊者可以繞過并執行任意指令,危害極大。
漏洞影響範圍
- Apache Dubbo 2.7.0~2.7.7
- Apache Dubbo 2.6.0~2.6.7
- Apache Dubbo 2.5.x系列所有版本(官方不再提供支援)
安全建議
目前官方還未釋出針對此漏洞繞過手法的更新檔,在阿裡雲提供一個月的預設防禦期限内,建議客戶參考以下方法進行緩解,并關注官方更新檔動态,及時進行更新:
- 更新至2.7.7版本,并根據 https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de 的方法進行參數校驗
- 禁止将Dubbo服務端端口開放給公網,或僅僅隻對能夠連接配接至Dubbo服務端的可信消費端IP開放
- Dubbo協定預設采用Hessian作為序列化反序列化方式,該反序列化方式存在反序列化漏洞。在不影響業務的情況下,建議更換協定以及反序列化方式。具體更換方法可參考: http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
安全産品建議
建議使用阿裡雲安全的下一代雲防火牆産品,即使在官方沒有釋出針對此漏洞繞過手法的更新檔情況下,其阻斷惡意外聯、配置智能政策的功能,也能夠從根本上阻止防禦入侵。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)