2020年2月13日,華為云安全團(tuán)隊監(jiān)測到應(yīng)用廣泛的Apache Dubbo出現(xiàn)一個較為嚴(yán)重的漏洞:反序列化漏洞(漏洞編號:CVE-2019-17564)。攻擊者利用該漏洞,可在目標(biāo)網(wǎng)站上遠(yuǎn)程執(zhí)行惡意代碼,最終導(dǎo)致網(wǎng)站被控制、數(shù)據(jù)泄露等。目前,華為云Web應(yīng)用防火墻(Web Application Firewall,WAF)提供了對該漏洞的防護(hù)。
一、漏洞原理
Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級的Java 遠(yuǎn)程調(diào)用分布式服務(wù)框架,支持多種通信協(xié)議。當(dāng)網(wǎng)站安裝了Apache Dubbo并且啟用http協(xié)議進(jìn)行通信時,攻擊者可以向網(wǎng)站發(fā)送POST請求,在請求里可以執(zhí)行一個反序列化的操作,由于沒有任何安全校驗(yàn),這個反序列化過程可以執(zhí)行任意代碼。這里,序列化是指把某個編程對象轉(zhuǎn)換為字節(jié)序列的過程,而反序列化是指把字節(jié)序列恢復(fù)為某個編程對象的過程。
二、影響的版本范圍
漏洞影響的Apache Dubbo產(chǎn)品版本包括: 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。
三、防護(hù)方案
1、Apache Dubbo官方建議用戶網(wǎng)站升級到安全的2.7.5版本。
2、如無法快速升級版本,或希望防護(hù)更多其他漏洞,可使用華為云WAF內(nèi)置的防護(hù)規(guī)則對該漏洞進(jìn)行防護(hù),步驟如下:
1) 購買WAF。
2) 將網(wǎng)站域名添加到WAF中并完成域名接入。
3) 將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式。
