Dubbo爆出严重漏洞！可导致网站被控制、数据泄露！附解决方案

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，360灵腾安全实验室判断漏洞等级为高，利用难度低，威胁程度高，影响面大。建议使用用户及时安装最新补丁，以免遭受黑客攻击。

2020年2月13日，各云安全团队也监测到应用广泛的 Apache Dubbo 出现一个较为严重的漏洞：反序列化漏洞（漏洞编号：CVE-2019-17564）。攻击者利用该漏洞，可在目标网站上远程执行恶意代码，最终导致网站被控制、数据泄露等。目前，各云服务厂商的 Web 应用防火墙（Web Application Firewall，WAF）都提供了对该漏洞的防护。

漏洞概述

Apache Dubbo 是一款应用广泛的高性能轻量级的 Java 远程调用分布式服务框架，支持多种通信协议。它的高性能和轻量级且开源的 Java RPC 框架深受国内用户喜爱。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡以及服务自动注册和发现。当网站安装了 Apache Dubbo 并且启用 http 协议进行通信时，攻击者可以向网站发送 POST 请求，在请求里可以执行一个反序列化的操作，由于没有任何安全校验，这个反序列化过程可以执行任意代码。这里，序列化是指把某个编程对象（如 gadgets）转换为字节序列的过程，而反序列化是指把字节序列恢复为某个编程对象的过程。

Apache Dubbo支持多种协议，当用户选择http协议进行通信时，Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作，当项目包中存在可用的gadgets时，由于安全校验不当会导致反序列化执行任意代码。

漏洞详情

漏洞分析，开始跟踪

请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle

通过进一步跟踪发现其传入org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter的readRemoteInvocation

在org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中，报文中post data部分为ois，全程并没有做任何安全过滤和检查，直接进行readObject方法

最终导致命令执行

影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

漏洞检测

仅影响在漏洞版本内启用http协议的用户：

处置建议

1、升级版本
建议用户升级到2.7.5以上
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

升级方法 （Maven dependency）

 
     2.7.5
 
 
     
       org.apache.dubbo
         dubbo
       ${dubbo.version}
     
     
         org.apache.dubbo
       dubbo-dependencies-zookeeper
         ${dubbo.version}
       pom
     
 

详细升级过程可参考官方的文档:https://github.com/apache/dubbo
2、如无法快速升级版本，或希望防护更多其他漏洞，可使用各云服务公司的 WA F内置的防护规则对该漏洞进行防护，步骤如下：

1. 购买 WAF。
2. 将网站域名添加到 WAF 中并完成域名接入。
3. 将 Web 基础防护的状态设置为“拦截”模式。

END

来源：安全客