漏洞預警

Fastjson再次爆出通殺的反序列化代碼執行漏洞

漏洞信息

據態勢感知平臺監測，網絡上再次出現此前未曾發現的fastjson反序列化攻擊向量。

Fastjson是由阿里巴巴推出基于Java語言的高性能json操作庫，由于速度快、支持功能豐富，頗受開發者的喜愛，在國內應用極為廣泛。但近年來由于反序列化漏洞的威力被從業人員逐漸認可，越來越多的攻擊者開始挖掘基礎組件的反序列化漏洞。

影響版本

astjson <= 1.2.68

fastjson sec版本 <= sec9

漏洞分析

在業務環境中，經常會有傳遞一個對象的需求，此時需要將內存中存儲的對象通過網絡傳輸，通常會將對象所有的成員變量轉儲成字符串(本例中即為json格式)通過HTTP/HTTPS協議傳送，在到達對端后，重新將相同的類實例化，并將所有的成員變量一一賦值，即可在本地得到一個與對端相同的對象。字符串還原對象的過程稱之為反序列化。

此功能雖然提高了開發效率，但同樣帶來了安全問題，在早期的反序列化功能中，并不會反序列化的類做限制，函數會無條件的反序列化對端傳來的數據。由于反序列化是遞歸的，且可以實例化當前堆棧中的所有存在的類。這導致攻擊者可以尋找一些常見的、具有代碼執行、文件讀取等功能函數的工具類，即可遠程操控服務器。且由于不能強制控制用戶反序列化的類，開發者只能通過黑名單的方式，將每次攻擊者發現的新的反序列化鏈條禁止來修復漏洞，這就導致了防御者一直處于被動的地位。

如上所述，fastjson采用黑白名單的方法來防御反序列化漏洞，導致當黑客不斷發掘新的反序列化Gadgets類時，在autoType關閉的情況下仍然可能可以繞過黑白名單防御機制，造成遠程命令執行漏洞。經分析該漏洞利用門檻較低，可繞過autoType限制，風險影響較大。

星巴克被發現存在約1億用戶的信息泄露風險

漏洞信息

一位白帽子在星巴克為朋友購買生日禮物時，意外的發現了一個可疑的接口，經過探測，最終得到了一個存在未授權訪問的Microsoft Graph實例。

此實例上存儲了約一億用戶的個人信息。

漏洞分析

此問題是由于反向代理的不當配置所致，白帽子首先探測出該網站架構為：

這意味“ app.starbucks.com”主機無法訪問通過特定端點訪問的邏輯或數據，但似乎可以將其充當假設的第二個主機(internal.starbucks.com)的代理或中間人。

在經過一些試錯與繞過waf的工作后，該白帽子發現似乎可以通過：

/bff/proxy/v1/me/streamItems/web\..\.\..\.\..\.\..\.\..\.\..\.\..\?

訪問到根目錄，最后經過一些爆破與目錄猜解工作，發現了星巴克用于存儲用戶數據的Microsoft Graph庫：

/bff/proxy/stream/v1/users/me/streamItems/web\..\.\..\.\..\.\..\.\..\.\..\.\search\v1\Accounts\

通過調用count接口，確認了數據條數為99356059條。

{

?"@odata.context":? ? ?? ?"https://redacted.starbucks.com/Search/v1/$metadata#Accounts",?

"@odata.count":99356059

}

所幸的是，星巴克官方快速的修復這一問題，也沒有證據表明這些數據遭到了泄露。

本周安全態勢分析

本周發生的事件有fastjson出現反序列化漏洞與星巴克信息泄露風險，可造成命令執行與大規模信息泄露等嚴重問題。Fastjson作為常用的json庫，在各種應用廣泛使用，且可直接遠程執行命令，星巴克的信息泄露暴露企業內網中的脆弱性，且數據量較大。

1反序列化漏洞近年來越發流行，是近年來比較新式的攻擊手段，開發者通常并不會主動的配置白名單來約束反序列化函數的使用，且開發者的防御手段只是簡單的黑名單過濾類名。每次新的鏈條出現就要更新黑名單，過于被動，較好的解決辦法還是要使用基于行為的監控。2星巴克的信息泄露問題本質是反向代理的配置不當引起的。但同時也暴露的企業內網中糟糕的安全機制，本例中即使攻擊者有限制的突破了邊界，但是本質問題還是Microsoft Graph缺少了訪問控制。

總結

以上是生活随笔為你收集整理的fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞；星巴克被发现存在信息泄露风险...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。