0x01 漏洞背景
2020年06月23日, 360CERT監(jiān)測發(fā)現(xiàn) Apache Dubbo 官方 發(fā)布了 Apache Dubbo 遠程代碼執(zhí)行 的風險通告,該漏洞編號為 CVE-2020-1948,漏洞等級:高危。
Apache Dubbo 是一款高性能、輕量級的開源JAVA RPC框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動注冊和發(fā)現(xiàn)。
Apache Dubbo Provider 存在 反序列化漏洞,攻擊者可以通過RPC請求發(fā)送無法識別的服務名稱或方法名稱以及一些惡意參數(shù)有效載荷,當惡意參數(shù)被反序列化時,可以造成遠程代碼執(zhí)行。
該漏洞的相關技術細節(jié)已公開。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產(chǎn)自查以及預防工作,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該漏洞的評定結果如下
0x03 漏洞詳情
Apache Dubbo Provider 存在 反序列化漏洞,攻擊者可以通過RPC請求發(fā)送無法識別的服務名稱或方法名稱以及一些惡意參數(shù)有效載荷,當惡意參數(shù)被反序列化時,可以造成遠程代碼執(zhí)行。
0x04 影響版本
- Dubbo 2.7.0 - 2.7.6
- Dubbo 2.6.0 - 2.6.7
- Dubbo 2.5.x (官方不再維護)
0x05 修復建議
通用修補建議:
建議廣大用戶及時升級到2.7.7或更高版本,下載地址為:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
0x06 相關空間測繪數(shù)據(jù)
360安全大腦-Quake網(wǎng)絡空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪,發(fā)現(xiàn)Dubbo在國內均有廣泛使用,具體分布如下圖所示。
0x07 產(chǎn)品側解決方案
360城市級網(wǎng)絡安全監(jiān)測服務
360安全大腦的QUAKE資產(chǎn)測繪平臺通過資產(chǎn)測繪技術手段,對該類漏洞進行監(jiān)測,請用戶聯(lián)系相關產(chǎn)品區(qū)域負責人獲取對應產(chǎn)品。
0x08 時間線
2020-06-22 Apache Dubbo 官方發(fā)布通告
2020-06-23 360CERT發(fā)布預警
0x09 參考鏈接
[CVE-2020-1948] Apache Dubbo Provider default deserialization cause RCE
https://www.mail-archive.com/[email protected]/msg06544.html
