漏洞名称:
Fastjson autoType 绕过漏洞
组件名称:
Fastjson
影响范围:
Fastjson ≤ 1.2.80
漏洞类型:
代码执行
利用条件:
1、用户认证:不需要用户认证
2、前置条件:需要使用特定依赖
3、触发方式:远程
综合评价:
<综合评定利用难度>:中等。
<综合评定威胁等级>:高危,能造成 autoType 绕过。
漏洞分析
1 组件介绍
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。
2 漏洞描述
近日,深信服安全团队监测到一则 Fastjson 组件存在autoType 默认关闭限制被绕过的漏洞信息,漏洞威胁等级:高危。该漏洞需要存在特定依赖才可能利用成功。
影响范围
Fastjson 是当前 Java 语言生态环境中,广泛使用的一种Json格式的序列化库,在各类商业和开源软件中都有它的使用身影。
目前受影响的 Fastjson 版本:
Fastjson ≤ 1.2.80
解决方案
1 如何检测组件系统版本
若为 Maven 项目,可查看项目 pom.xml 文件中所用依赖是否包含以下内容,若有则检查所用版本是否在受影响范围内。
<dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.xx</version></dependency>
或通过搜索当前项目目录的文件是否存在如下 jar 包,且版本在受影响范围内。
对于 Linux 系统,可通过在当前项目中执行
find ./ -name “fastjson*.jar”查找是否存在 fastjson-*.*.**.jar 包文件,并确认版本是否在受影响范围内。
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/alibaba/fastjson/releases
3 临时修复建议
3.1 safeMode 加固
fastjson 在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化 Gadgets 类变种攻击(关闭 autoType 注意评估对业务的影响)。
开启方法参考官方文档:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
4 深信服解决方案
1.安全监测
支持对 Fastjson autoType 绕过漏洞的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:
【深信服安全感知管理平台SIP】已发布解决方案。
【深信服安全托管服务MSS】已发布解决方案。
2.安全防护
支持对 Fastjson autoType 绕过漏洞的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:
【深信服下一代防火墙AF】已发布解决方案。
【深信服Web应用防火墙WAF】已发布解决方案。
【深信服安全托管服务MSS】已发布解决方案。
参考链接
https://github.com/alibaba/fastjson/wiki/security_update_20220523
时间轴
2022/5/23 深信服监测到 Fastjson autoType 绕过漏洞信息。
2022/5/23 深信服千里目安全实验室发布漏洞通告。
2022/5/25 深信服千里目安全实验室发布二次通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...