既Redis之后,巨大破坏力Java反序列漏洞浮出水面
既Redis漏洞之后,被低估且具有巨大破坏力的Java反序列haunted漏洞浮出水面。FoxGlove Security安全团队的@breenmachine发布一篇博客中提到java反序列化漏洞,该漏洞在最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中应用,实现远程代码执行。最为严重的是,在漏洞被发现的9个月后依然没有有效的java库补丁来针对受到影响的产品进行加固。
Java反序列化漏洞是一类被广泛应用的漏洞,绝大多数的编程语言都会提供内建方法使用户可以将自身应用所产生的数据存入硬盘或通过网络传输出去,经绿盟科技WVSS插件响应组分析确认该漏洞在不同的语言环境下会导致多种结果产生,但最具危害性的还是远程代码注入。
据绿盟科技SEER统计,目前全球使用JAVA语言的网站有453342个。基于jenkins的网站有11059个,基于jboss的网站有29194,基于WebSphere的网站有2076。全球分布如下:
目前使用Java语言网站最多的国家排名分别是美国,中国,朝鲜等;城市排名分别是Ashburn,杭州,北京等。
中国境内共有128032个网站使用Java语言。开放的对应端口如下:
绿盟WEB应用漏洞扫描系统(NSFOCUS Web Vulnerability Scanning System,简称:NSFOCUS WVSS)已在第一时间内实现此漏洞的检测技术,请已有WVSS的用户对所管理的网站发现潜在风险,快速修补。此外,绿盟科技蜂巢开发者社区也启动了应急机制,实现Java反序列化漏洞的在线检测。此社区供安全爱好者进行网络安全开发经验的学习交流,并提供真实环境供大家开发安全检测插件。从漏洞分析、代码开发、安全交流等多方面来提升自己的能力。同时,安全人员可以方便获取对应插件进行安全测试,共同维护互联网安全。加入蜂巢社区,请联系beehive@nsfocus.com,获得注册码。
绿盟科技WVSS插件响应组提醒网站管理员请在第一时间内确认所管理网站是否存在此风险,并采取相应措施防御该漏洞。对于可能泄露账户密码的用户来说,请立即修改当前密码,并修改其它网站中使用的相同密码。也可以参考以下方案进行修复。
临时解决方案
• 使用 SerialKiller 替换进行序列化操作的ObjectInputStream 类;
• 在不影响业务的情况下,临时删除掉项目里的
"org/apache/commons/collections/functors/InvokerTransformer.class" 文件;
• Jboss可以选择关闭jmx-console;
官方解决方案
暂无官方解决方案
推荐防护方案
使用绿盟科技的Web应用防火墙(NSFOCUS WAF)或绿盟WAF可管理安全服务(NSFOCUS MSS for WAF)。
评论