腾讯安全发布“Fastjson反序列化远程代码执行漏洞”解决方案

2020-06-01 19:57:00
上周腾讯安全团队监测到Fastjson <=1.2.68版本存在反序列化远程代码执行漏洞,Fastjson官方已发布版本升级修复该漏洞,腾讯安全系列产品已同步升级,提供针对该漏洞的检测能力,可拦截黑客利用漏洞的攻击活动。

上周腾讯安全团队监测到Fastjson <=1.2.68版本存在反序列化远程代码执行漏洞,并已发布安全通告提醒相关开发人员注意(Fastjson <=1.2.68全版本远程代码执行漏洞通告)。截止目前,Fastjson官方已发布版本升级修复该漏洞,腾讯安全系列产品已同步升级,提供针对该漏洞的检测能力,可拦截黑客利用漏洞的攻击活动。

【漏洞描述】

Fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程代码执行漏洞。

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean

【漏洞风险等级】高危

【影响范围】

Fastjson < 1.2.69

Fastjson sec版本 < sec10

【修复建议】
目前,官方已发布版本更新,企业可参考以下方式修复漏洞或加以缓解:

1、升级至安全版本;

较低版本升级至最新版本1.2.69可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本,请参考以下链接尽快修复:
https://repo1.maven.org/maven2/com/alibaba/fastjson/

2
、开启SafeMode
若不能尽快升级版本,可通过开启SafeMode来缓解漏洞风险。Fastjson1.2.68及之后的版本中引入了SafeMode,配置SafeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击。
safeMode会完全禁用autotype,无视白名单,请评估对业务系统的影响)

以下为配置SafeMode的三种方式:
1)在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);

2)加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开。

3)通过fastjson.properties文件配置
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true

【腾讯安全产品方案】

1.腾讯T-Sec主机安全(云镜)已支持检测该漏洞,推荐腾讯云的用户使用腾讯云镜检测云主机是否存在相关组件漏洞。关于腾讯云镜的更多信息,可参考官方网站(https://cloud.tencent.com/product/cwp

2.腾讯云防火墙已经升级针对Fastjson远程代码执行漏洞的检测能力,可以拦截黑客利用漏洞对云服务器的攻击活动。更多有关腾讯云防火墙的更多信息,可参考访问腾讯云官方网站(https://cloud.tencent.com/product/cfw)。


3.对于私有云的用户,可以通过腾讯T-Sec高级威胁检测系统(腾讯御界)检测服务器是否存在Fastjson远程代码执行漏洞的利用。有关腾讯御界的更多信息,可参考腾讯安全官方网站(https://s.tencent.com/product/yujie/index.html)。

4.腾讯T-Sec Web应用防火墙(WAF)提供AI检测引擎,针对Fastjson历史已知漏洞和未知漏洞都能够有效拦截,无需客户添加或者更新规则。关于腾讯云WAF的更多信息,可参考官方网站(https://cloud.tencent.com/product/waf)。


腾讯安全系列产品应对Fastjson远程代码执行漏洞的响应清单如下:

应用

场景

安全产品

解决方案

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)已经升级针对Fastjson远程代码执行漏洞的检测能力,可以拦截黑客利用漏洞对云服务器的攻击活动。


有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持检测Fastjson远程代码执行漏洞;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。


关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec Web应用防火墙(WAF

腾讯T-Sec Web应用防火墙(WAF)提供AI检测引擎,针对Fastjson历史已知漏洞和未知漏洞都能够有效拦截,无需客户添加或者更新规则。


关于腾讯云WAF的更多信息,可参考官方网站https://cloud.tencent.com/product/waf

腾讯T-Sec 安全运营中心

已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,已支持与Fastjson远程代码执行漏洞相关的情报、威胁发现、事件处置告警。


关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)可以通过腾讯T-Sec高级威胁检测系统(腾讯御界)检测服务器是否存在Fastjson远程代码执行漏洞的利用。


关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

参考链接:
https://repo1.maven.org/maven2/com/alibaba/fastjson/
https://github.com/alibaba/fastjson/wiki/fastjson_safemode

最新资讯