0x01 漏洞背景

2020年06月23日， 360CERT監測發現 Apache Dubbo 官方 發布了 Apache Dubbo 遠程代碼執行 的風險通告，該漏洞編號為 CVE-2020-1948，漏洞等級：高危。

Apache Dubbo 是一款高性能、輕量級的開源JAVA RPC框架，它提供了三大核心能力：面向接口的遠程方法調用，智能容錯和負載均衡，以及服務自動注冊和發現。

Apache Dubbo Provider 存在 反序列化漏洞，攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷，當惡意參數被反序列化時，可以造成遠程代碼執行。

該漏洞的相關技術細節已公開。

對此，360CERT建議廣大用戶及時安裝最新補丁，做好資產自查以及預防工作，以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

0x03 漏洞詳情

Apache Dubbo Provider 存在 反序列化漏洞，攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷，當惡意參數被反序列化時，可以造成遠程代碼執行。

0x04 影響版本

• Dubbo 2.7.0 - 2.7.6
• Dubbo 2.6.0 - 2.6.7
• Dubbo 2.5.x （官方不再維護）

0x05 修復建議

通用修補建議：

建議廣大用戶及時升級到2.7.7或更高版本，下載地址為：
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

0x06 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪，發現Dubbo在國內均有廣泛使用，具體分布如下圖所示。

0x07 產品側解決方案

360城市級網絡安全監測服務

360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段，對該類漏洞進行監測，請用戶聯系相關產品區域負責人獲取對應產品。

0x08 時間線

2020-06-22 Apache Dubbo 官方發布通告

2020-06-23 360CERT發布預警

0x09 參考鏈接

[CVE-2020-1948] Apache Dubbo Provider default deserialization cause RCE
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html