阿里巴巴开源的 JSON 解析库 Fastjson 被曝高危漏洞,官方已发布安全公告
技术编辑:徐九丨发自 思否办公室
Fastjson 是阿里巴巴开源的一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。fastjson 当前版本为 1.2.68 发布于 3 月底。
近日,阿里云应急响应中心监测到 fastjson 爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过 autoType 限制,直接远程执行任意命令攻击服务器,风险极大。360 安全中心将该漏洞等级定为 “高危”。
1. 漏洞描述
fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过 autoType 限制,风险影响较大。阿里云应急响应中心提醒 fastjson 用户尽快采取安全措施阻止漏洞攻击。
2. 影响版本
fastjson <=1.2.68
fastjson sec版本 <= sec9
android 版本不受此漏洞影响
3. 漏洞验证
使用 JNDI 配合 RMI&LDAP 二阶注入或者字节码本地注入即可。
字节码本地注入可以不受 JDK 修复限制且不受目标机器网络环境限制,此种利用方式对于攻击者更为有利。
对于该漏洞,官方建议升级到最新版本 1.2.69 或更新的 1.2.70 版本,来规避相关的风险。
https://github.com/alibaba/fastjson
fastjson 官方安全公告:
https://github.com/alibaba/fastjson/wiki/security_update_20200601
黑产与高危漏洞
随着网络技术不断升级,网络安全形势日益严峻。近年来,数据泄漏、网络敲诈等各类网络安全事件频发,给企业及社会发展带来严重影响。而这些在网络空间潜滋暗长的黑产,多数都与高危漏洞相关。
换句话说,利用软件和硬件中存在的漏洞,已然成为黑产攻陷各系统的主要手段。
企业管理员或者项目负责人要随时关注漏洞发现与修复公告,对于存在的漏洞应及时安装补丁进行修复,避免被利用入侵,造成损失。