【漏洞預警】Apache Dubbo遠程代碼執行漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到Apache發布安全公告，修復了一個Apache Dubbo中的遠程代碼執行漏洞。漏洞威脅等級：嚴重。該漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞，未經身份驗證的攻擊者可利用該漏洞在目標系統上遠程執行任意代碼。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

CVE: CVE-2021-43297

簡述：Apache Dubbo是一款微服務開發框架，它提供了RPC通信與微服務治理兩大關鍵能力。使應用可通過高性能的 RPC 實現服務的輸出和輸入功能，可以和 Spring 框架無縫集成。該漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞，未經身份驗證的攻擊者可利用該漏洞在目標系統上遠程執行任意代碼。大多數Dubbo用戶默認使用Hessian2作為序列化/反序列化協議，在Hessian 捕獲到異常時，Hessian將會注銷一些用戶信息，這可能會導致遠程命令執行。

3. 漏洞危害

攻擊者可利用該漏洞在未經身份驗證的情況下，構造惡意數據進行遠程代碼執行攻擊，最終獲取服務器最高權限。

4. 影響版本

目前受影響的Apache Dubbo版本：

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

5. 解決方案

1、緊急緩解措施：

（1） 關閉對公網開放的Dubbo服務端端口，僅允許可信任的IP訪問。

（2） Dubbo協議默認使用Hessian進行序列化和反序列化。在不影響業務的情況下，建議更換協議以及反序列化方式。

（3） 具體方法請參考官方文檔：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

2、正式防護方案：

（1）廠商已發布補丁修復漏洞，用戶請盡快更新至安全版本：3.0.5、 2.7.15、2.6.12

6. 時間軸

【-】2022年1月13日 安識科技A-Team團隊監測到Apache發布安全公告

【-】2022年1月13日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年1月14日 安識科技A-Team團隊發布安全通告