資安

預警|Apache Dubbo漏洞補丁繞過,阿里雲上可默認攔截,請儘快修復

2020年6月29日,阿里雲應急響應中心監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞補丁存在缺陷,可以繞過原有補丁並執行任意指令。

針對這一情況,阿里雲默認防禦已啟動緊急響應,為阿里雲上受影響客戶免費提供一個月的虛擬補丁幫助緩解該漏洞的影響,建議利用這個期間儘快完成漏洞修復,避免該漏洞被利用造成數據、資產的損失。

時間線

  • 2020.06.23 監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞
  • 2020.06.29 監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞 補丁繞過

漏洞描述

Apache Dubbo是一種基於Java的高性能RPC框架。Apache Dubbo官方披露在Dubbo Provider中存在一個反序列化遠程代碼執行漏洞(CVE-2020-1948),攻擊者可以構造併發送帶有惡意參數負載的RPC請求,當惡意參數被反序列化時將導致遠程代碼執行。

目前,2.7.7版本的官方補丁中存在缺陷,攻擊者可以繞過並執行任意指令,危害極大。

漏洞影響範圍

  • Apache Dubbo 2.7.0~2.7.7
  • Apache Dubbo 2.6.0~2.6.7
  • Apache Dubbo 2.5.x系列所有版本(官方不再提供支持)

安全建議

目前官方還未發佈針對此漏洞繞過手法的補丁,在阿里雲提供一個月的默認防禦期限內,建議客戶參考以下方法進行緩解,並關注官方補丁動態,及時進行更新:

  1. 升級至2.7.7版本,並根據https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de的方法進行參數校驗
  2. 禁止將Dubbo服務端端口開放給公網,或僅僅只對能夠連接至Dubbo服務端的可信消費端IP開放
  3. Dubbo協議默認採用Hessian作為序列化反序列化方式,該反序列化方式存在反序列化漏洞。在不影響業務的情況下,建議更換協議以及反序列化方式。具體更換方法可參考:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

安全產品建議

建議使用阿里雲安全的下一代雲防火牆產品,即使在官方沒有發佈針對此漏洞繞過手法的補丁情況下,其阻斷惡意外聯、配置智能策略的功能,也能夠從根本上阻止防禦入侵。

Leave a Reply

Your email address will not be published. Required fields are marked *