漏洞預(yù)警

Fastjson再次爆出通殺的反序列化代碼執(zhí)行漏洞

漏洞信息

據(jù)態(tài)勢(shì)感知平臺(tái)監(jiān)測(cè)，網(wǎng)絡(luò)上再次出現(xiàn)此前未曾發(fā)現(xiàn)的fastjson反序列化攻擊向量。

Fastjson是由阿里巴巴推出基于Java語(yǔ)言的高性能json操作庫(kù)，由于速度快、支持功能豐富，頗受開(kāi)發(fā)者的喜愛(ài)，在國(guó)內(nèi)應(yīng)用極為廣泛。但近年來(lái)由于反序列化漏洞的威力被從業(yè)人員逐漸認(rèn)可，越來(lái)越多的攻擊者開(kāi)始挖掘基礎(chǔ)組件的反序列化漏洞。

影響版本

astjson <= 1.2.68

fastjson sec版本 <= sec9

漏洞分析

在業(yè)務(wù)環(huán)境中，經(jīng)常會(huì)有傳遞一個(gè)對(duì)象的需求，此時(shí)需要將內(nèi)存中存儲(chǔ)的對(duì)象通過(guò)網(wǎng)絡(luò)傳輸，通常會(huì)將對(duì)象所有的成員變量轉(zhuǎn)儲(chǔ)成字符串(本例中即為json格式)通過(guò)HTTP/HTTPS協(xié)議傳送，在到達(dá)對(duì)端后，重新將相同的類(lèi)實(shí)例化，并將所有的成員變量一一賦值，即可在本地得到一個(gè)與對(duì)端相同的對(duì)象。字符串還原對(duì)象的過(guò)程稱(chēng)之為反序列化。

此功能雖然提高了開(kāi)發(fā)效率，但同樣帶來(lái)了安全問(wèn)題，在早期的反序列化功能中，并不會(huì)反序列化的類(lèi)做限制，函數(shù)會(huì)無(wú)條件的反序列化對(duì)端傳來(lái)的數(shù)據(jù)。由于反序列化是遞歸的，且可以實(shí)例化當(dāng)前堆棧中的所有存在的類(lèi)。這導(dǎo)致攻擊者可以尋找一些常見(jiàn)的、具有代碼執(zhí)行、文件讀取等功能函數(shù)的工具類(lèi)，即可遠(yuǎn)程操控服務(wù)器。且由于不能強(qiáng)制控制用戶(hù)反序列化的類(lèi)，開(kāi)發(fā)者只能通過(guò)黑名單的方式，將每次攻擊者發(fā)現(xiàn)的新的反序列化鏈條禁止來(lái)修復(fù)漏洞，這就導(dǎo)致了防御者一直處于被動(dòng)的地位。

如上所述，fastjson采用黑白名單的方法來(lái)防御反序列化漏洞，導(dǎo)致當(dāng)黑客不斷發(fā)掘新的反序列化Gadgets類(lèi)時(shí)，在autoType關(guān)閉的情況下仍然可能可以繞過(guò)黑白名單防御機(jī)制，造成遠(yuǎn)程命令執(zhí)行漏洞。經(jīng)分析該漏洞利用門(mén)檻較低，可繞過(guò)autoType限制，風(fēng)險(xiǎn)影響較大。

星巴克被發(fā)現(xiàn)存在約1億用戶(hù)的信息泄露風(fēng)險(xiǎn)

漏洞信息

一位白帽子在星巴克為朋友購(gòu)買(mǎi)生日禮物時(shí)，意外的發(fā)現(xiàn)了一個(gè)可疑的接口，經(jīng)過(guò)探測(cè)，最終得到了一個(gè)存在未授權(quán)訪問(wèn)的Microsoft Graph實(shí)例。

此實(shí)例上存儲(chǔ)了約一億用戶(hù)的個(gè)人信息。

漏洞分析

此問(wèn)題是由于反向代理的不當(dāng)配置所致，白帽子首先探測(cè)出該網(wǎng)站架構(gòu)為：

這意味“ app.starbucks.com”主機(jī)無(wú)法訪問(wèn)通過(guò)特定端點(diǎn)訪問(wèn)的邏輯或數(shù)據(jù)，但似乎可以將其充當(dāng)假設(shè)的第二個(gè)主機(jī)(internal.starbucks.com)的代理或中間人。

在經(jīng)過(guò)一些試錯(cuò)與繞過(guò)waf的工作后，該白帽子發(fā)現(xiàn)似乎可以通過(guò)：

/bff/proxy/v1/me/streamItems/web\..\.\..\.\..\.\..\.\..\.\..\.\..\?

訪問(wèn)到根目錄，最后經(jīng)過(guò)一些爆破與目錄猜解工作，發(fā)現(xiàn)了星巴克用于存儲(chǔ)用戶(hù)數(shù)據(jù)的Microsoft Graph庫(kù)：

/bff/proxy/stream/v1/users/me/streamItems/web\..\.\..\.\..\.\..\.\..\.\..\.\search\v1\Accounts\

通過(guò)調(diào)用count接口，確認(rèn)了數(shù)據(jù)條數(shù)為99356059條。

{

?"@odata.context":? ? ?? ?"https://redacted.starbucks.com/Search/v1/$metadata#Accounts",?

"@odata.count":99356059

}

所幸的是，星巴克官方快速的修復(fù)這一問(wèn)題，也沒(méi)有證據(jù)表明這些數(shù)據(jù)遭到了泄露。

本周安全態(tài)勢(shì)分析

本周發(fā)生的事件有fastjson出現(xiàn)反序列化漏洞與星巴克信息泄露風(fēng)險(xiǎn)，可造成命令執(zhí)行與大規(guī)模信息泄露等嚴(yán)重問(wèn)題。Fastjson作為常用的json庫(kù)，在各種應(yīng)用廣泛使用，且可直接遠(yuǎn)程執(zhí)行命令，星巴克的信息泄露暴露企業(yè)內(nèi)網(wǎng)中的脆弱性，且數(shù)據(jù)量較大。

1反序列化漏洞近年來(lái)越發(fā)流行，是近年來(lái)比較新式的攻擊手段，開(kāi)發(fā)者通常并不會(huì)主動(dòng)的配置白名單來(lái)約束反序列化函數(shù)的使用，且開(kāi)發(fā)者的防御手段只是簡(jiǎn)單的黑名單過(guò)濾類(lèi)名。每次新的鏈條出現(xiàn)就要更新黑名單，過(guò)于被動(dòng)，較好的解決辦法還是要使用基于行為的監(jiān)控。2星巴克的信息泄露問(wèn)題本質(zhì)是反向代理的配置不當(dāng)引起的。但同時(shí)也暴露的企業(yè)內(nèi)網(wǎng)中糟糕的安全機(jī)制，本例中即使攻擊者有限制的突破了邊界，但是本質(zhì)問(wèn)題還是Microsoft Graph缺少了訪問(wèn)控制。

總結(jié)

以上是生活随笔為你收集整理的fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞；星巴克被发现存在信息泄露风险...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。