vlambda博客
学习文章列表

# 漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架，支持多种通信协议。

当网站安装了Apache Dubbo并且启用http协议进行通信时，攻击者可以向网站发送POST请求，在请求里可以执行一个反序列化的操作，由于没有任何安全校验，这个反序列化过程可以执行任意代码。这里，序列化是指把某个编程对象转换为字节序列的过程，而反序列化是指把字节序列恢复为某个编程对象的过程。

漏洞分析，开始跟踪：

请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle：

通过进一步跟踪发现其传入org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter的readRemoteInvocation：

在org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中，报文中post data部分为ois，全程并没有做任何安全过滤和检查，直接进行readObject方法：

最终导致命令执行：

# 影响的版本范围

漏洞影响的Apache Dubbo产品版本包括：2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

# 漏洞检测

仅影响在漏洞版本内启用http协议的用户：

<dubbo：protocol name ="http" />

# 防护方案

<properties> <dubbo.version>2.7.5</dubbo.version></properties>
<dependencies> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo</artifactId> <version>${dubbo.version}</version> </dependency> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo-dependencies-zookeeper</artifactId> <version>${dubbo.version}</version> <type>pom</type> </dependency></dependencies>

2、如无法快速升级版本，或希望防护更多其他漏洞，可使用WAF内置的防护规则对该漏洞进行防护，步骤如下：

• 购买WAF。

• 将网站域名添加到WAF中并完成域名接入。

• 将Web基础防护的状态设置为“拦截”模式。

# 参考

https://www.mail-archive.com/[email protected]/msg06225.html

https://www.anquanke.com/post/id/198747