報告編號:B6-2020-022102
報告來源:360-CERT
報告作者:360-CERT
更新日期:2020-02-21
0x01 漏洞背景
2020年02月日, 360CERT監測到友商發布了fastjson<=1.2.62遠程代碼執行漏洞通告。
fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。
此次漏洞是由於CVE-2020-8840的gadget繞過了fastjson的黑名單而導致的,當服務端存在收到漏洞影響的xbean-reflect依賴並且開啟fastjson的autotype時,遠程攻擊者可以通過精心構造的請求包觸發漏洞從而導致在服務端上造成遠程命令執行的效果。
0x02 風險等級
360CERT對該漏洞進行評定
評定方式等級威脅等級中危影響面一般
360CERT建議廣大用戶及時更新fastjson版本。做好資產 自查/自檢/預防 工作,以免遭受攻擊。
0x03 影響版本
fastjson <= 1.2.62
0x04 漏洞證明
0x05 修復建議
- fastjson默認關閉autotype,請在項目源碼中全文搜索以下代碼,找到並將此代碼刪除: ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
- 將JDK升級到最新版本。
0x06 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平台通過資產測繪技術手段,對該類 漏洞/事件 進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
360AISA全流量威脅分析系統
360AISA基於360海量安全大數據和實戰經驗訓練的模型,進行全流量威脅檢測,實現實時精準攻擊告警,還原攻擊鏈。
目前產品具備該漏洞/攻擊的實時檢測能力。
0x07 時間線
2020-02-21 友商發布漏洞通告
2020-02-21 360CERT發布漏洞通告
0x08 參考連結
- https://mp.weixin.qq.com/s/24eYO350Xt_JpAgmSQBGVw
- https://github.com/FasterXML/jackson-databind/issues/2620