0x01 漏洞簡(jiǎn)述
2022年05月23日,360CERT監(jiān)測(cè)發(fā)現(xiàn)阿里巴巴發(fā)布了Fastjson的風(fēng)險(xiǎn)通告����,漏洞編號(hào)暫無 ,漏洞等級(jí):高危�����,漏洞評(píng)分:8.5�。
Fastjson由阿里巴巴開發(fā)的開源JSON解析庫����,由JAVA語言編寫��。Fastjson可以解析JSON格式的字符串����,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean���。由于具有執(zhí)行效率高的特點(diǎn)���,應(yīng)用范圍廣泛。
對(duì)此���,360CERT建議廣大用戶及時(shí)將Fastjson升級(jí)到最新版本。與此同時(shí)���,請(qǐng)做好資產(chǎn)自查以及預(yù)防工作���,以免遭受黑客攻擊。
0x02 風(fēng)險(xiǎn)等級(jí)
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下
評(píng)定方式等級(jí)
威脅等級(jí)高危
影響面廣泛
攻擊者價(jià)值高
利用難度低
360CERT評(píng)分8.5
0x03 漏洞詳情
Fastjson 反序列化漏洞
CVE:暫無
組件: Fastjson
漏洞類型: 序列化
影響: 代碼執(zhí)行,服務(wù)器接管
簡(jiǎn)述: 在Fastjson 1.2.80及以下版本中存在反序列化漏洞���,攻擊者可以在特定條件下繞過默認(rèn)autoType關(guān)閉限制�,從而反序列化有安全風(fēng)險(xiǎn)的類。該漏洞允許遠(yuǎn)程攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼���。
0x04 影響版本
組件影響版本安全版本
Fastjson≤ 1.2.801.2.83
0x05 修復(fù)建議
通用修補(bǔ)建議
1. 升級(jí)到最新版本1.2.83���,可參考https://github.com/alibaba/fastjson/releases/tag/1.2.83 。
(該版本涉及autotype行為變更�����,在某些場(chǎng)景會(huì)出現(xiàn)不兼容的情況��。)
2. 可升級(jí)到fastjson v2 ���,可參考 https://github.com/alibaba/fastjson2/releases
臨時(shí)修補(bǔ)建議
fastjson在1.2.68及之后的版本中引入了safeMode����,配置safeMode后���,無論白名單和黑名單�����,都不支持autoType����,可杜絕反序列化Gadgets類變種攻擊(關(guān)閉autoType注意評(píng)估對(duì)業(yè)務(wù)的影響)。開啟方法可參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode �����。1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞�����,開啟safeMode是完全關(guān)閉autoType功能���,避免類似問題再次發(fā)生�,這可能會(huì)有兼容問題�����,請(qǐng)充分評(píng)估對(duì)業(yè)務(wù)影響后開啟�。
0x06 產(chǎn)品側(cè)解決方案
若想了解更多產(chǎn)品信息或有相關(guān)業(yè)務(wù)需求�����,可移步至http://360.net。
360安全分析響應(yīng)平臺(tái)
360安全大腦的安全分析響應(yīng)平臺(tái)通過網(wǎng)絡(luò)流量檢測(cè)���、多傳感器數(shù)據(jù)融合關(guān)聯(lián)分析手段�,對(duì)該類漏洞的利用進(jìn)行實(shí)時(shí)檢測(cè)和阻斷����,請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對(duì)應(yīng)產(chǎn)品。
360安全衛(wèi)士
Windows用戶可通過360安全衛(wèi)士實(shí)現(xiàn)對(duì)應(yīng)補(bǔ)丁安裝��、漏洞修復(fù)�����、惡意軟件查殺�,其他平臺(tái)的用戶可以根據(jù)修復(fù)建議列表中的安全建議進(jìn)行安全維護(hù)。
360CERT建議廣大用戶使用360安全衛(wèi)士定期對(duì)設(shè)備進(jìn)行安全檢測(cè)���,以做好資產(chǎn)自查以及防護(hù)工作�����。
360安全衛(wèi)士團(tuán)隊(duì)版
用戶可以通過安裝360安全衛(wèi)士并進(jìn)行全盤殺毒來維護(hù)計(jì)算機(jī)安全���。360CERT建議廣大用戶使用360安全衛(wèi)士定期對(duì)設(shè)備進(jìn)行安全檢測(cè)���,以做好資產(chǎn)自查以及防護(hù)工作。
360本地安全大腦
360本地安全大腦是將360云端安全大腦核心能力本地化部署的一套開放式全場(chǎng)景安全運(yùn)營平臺(tái)�����,實(shí)現(xiàn)安全態(tài)勢(shì)����、監(jiān)控、分析�、溯源、研判�����、響應(yīng)�����、管理的智能化安全運(yùn)營賦能�����。360本地安全大腦已支持對(duì)相關(guān)漏洞利用的檢測(cè)���,請(qǐng)及時(shí)更新網(wǎng)絡(luò)神經(jīng)元(探針)規(guī)則和本地安全大腦關(guān)聯(lián)分析規(guī)則���,做好防護(hù)。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
