【漏洞预警】Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞修复方案

漏洞描述

2020年5月21日，阿里云应急响应中心监测到某安全研究人员披露Apache Tomcat在一定条件下使用自带session同步功能时存在反序列化代码执行漏洞，并在GitHub上公布该漏洞远程命令执行可利用EXP程序，风险较大。

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。当Apache Tomcat集群使用了自带session同步功能，并且没有使用EncryptInterceptor，或者处于不可信的网络环境中，攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。目前网络上已披露相关利用代码，实际利用需要相关JDK版本支持以及Tomcat Session同步端点可访问。阿里云应急响应中心提醒Apache Tomcat用户尽快排查Cluster相关配置是否安全以防止漏洞攻击。

安全建议

漏洞由不安全配置造成，加强配置即可防范漏洞攻击：

1、若Tomcat启用了session同步功能，配置EncryptInterceptor对通信进行加密，使用参考：http://tomcat.apache.org/tomcat-10.0-doc/config/cluster-interceptor.html#org.apache.catalina.tribes.group.interceptors.EncryptInterceptor_Attributes

2、禁止Tomcat集群端点对不可信网络开放（只能防范外网攻击，内网依旧有风险）

不安全配置类似example：

<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster">
        <Channel className="org.apache.catalina.tribes.group.GroupChannel">
        <Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"
                        address="0.0.0.0"
                        port="5000"
                        selectorTimeout="100"
                        maxThreads="6"/>
        Channel>
Cluster>

应改为如下，以下是一些重要的默认值说明：

• 组播地址是228.0.0.4
• 组播端口为45564（端口和地址共同决定群集成员资格。
• 广播的IP是java.net.InetAddress.getLocalHost().getHostAddress()（确保您不广播127.0.0.1，这是一个常见错误）
• 侦听复制消息的TCP端口是范围中的第一个可用服务器套接字 4000-4100
• 侦听器已配置 ClusterSessionListener
• 配置了两个拦截器TcpFailureDetector，MessageDispatch15Interceptor

以下是默认的群集配置：

<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"
                 channelSendOptions="8">

          <Manager className="org.apache.catalina.ha.session.DeltaManager"
                   expireSessionsOnShutdown="false"
                   notifyListenersOnReplication="true"/>

          <Channel className="org.apache.catalina.tribes.group.GroupChannel">
            <Membership className="org.apache.catalina.tribes.membership.McastService"
                        address="228.0.0.4"
                        port="45564"
                        frequency="500"
                        dropTime="3000"/>
            <Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"
                      address="auto"
                      port="4000"
                      autoBind="100"
                      selectorTimeout="5000"
                      maxThreads="6"/>

            <Sender className="org.apache.catalina.tribes.transport.ReplicationTransmitter">
              <Transport className="org.apache.catalina.tribes.transport.nio.PooledParallelSender"/>
            Sender>
            <Interceptor className="org.apache.catalina.tribes.group.interceptors.TcpFailureDetector"/>
            <Interceptor className="org.apache.catalina.tribes.group.interceptors.MessageDispatch15Interceptor"/>
          Channel>

          <Valve className="org.apache.catalina.ha.tcp.ReplicationValve"
                 filter=""/>
          <Valve className="org.apache.catalina.ha.session.JvmRouteBinderValve"/>

          <Deployer className="org.apache.catalina.ha.deploy.FarmWarDeployer"
                    tempDir="/tmp/war-temp/"
                    deployDir="/tmp/war-deploy/"
                    watchDir="/tmp/war-listen/"
                    watchEnabled="false"/>

          <ClusterListener className="org.apache.catalina.ha.session.JvmRouteSessionIDBinderListener">
          <ClusterListener className="org.apache.catalina.ha.session.ClusterSessionListener">
        Cluster>