赞
踩
近日,开源项目Apache Dubbo爆出远程代码执行漏洞CVE-2023-23638,攻击者可以利用反序列化构造远程代码执行,远程获取服务器权限。
漏洞细节公布后,腾讯安全迅速响应,目前腾讯云防火墙、主机安全、Web应用防火墙已支持对Apache Dubbo反序列化远程代码执行漏洞进行检测和防护。
一、漏洞概述
Apache Dubbo是一款RPC服务开发框架,用于解决微服务架构下的服务治理与通信问题。使用Dubbo开发的微服务,原生具备相互之间的远程地址发现与通信能力, 利用Dubbo提供的丰富服务治理特性,可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。
Dubbo泛型调用中存在反序列化漏洞,未经身份验证的攻击者可以通过构造特殊的请求利用此漏洞,造成远程代码执行,从而获取远程服务器的权限。
二、漏洞详情
排查方式:
(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。若使用了漏洞版本,可以依据处置方案进行处置;
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。若使用了漏洞版本,可以依据处置方案进行处置。
影响版本:
Apache Dubbo 2.7.x系列中的2.7.21及之前的版本
Apache Dubbo 3.0.x 系列中的 3.0.13 及之前的版本
Apache Dubbo 3.1.x 系列中的 3.1.5 及之前的版本
三、漏洞官方修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。下载地址:https://github.com/apache/dubbo/releases
(1)Apache Dubbo 2.7.x系列用户建议升级Apache Dubbo到 2.7.22及以上安全版本
(2)Apache Dubbo 3.0.x系列用户建议升级Apache Dubbo到3.0.14及以上安全版本
(3)Apache Dubbo 3.1.x系列用户建议升级Apache Dubbo到 3.1.6及以上安全版本
四、使用云原生安全产品
漏洞防御指南
目前,腾讯云主机安全、容器安全、Web应用防火墙、云防火墙已支持对Apache Dubbo 反序列化远程代码执行漏洞进行检测和防护。
1、开启“三道防线防护”
腾讯云原生安全产品将向符合条件且未试用过产品的企业用户限时开放 7 天免费试用,领取试用后通过简单的几个步骤即可完成防护接入。
为了完成对漏洞的检测、防护、修复,建议开启云防火墙、Web应用防火墙、主机安全三款产品的试用。
(1)一键领取试用(已购客户可跳过)
https://console.cloud.tencent.com/cfw/ptcenter
2 、漏洞检测
(1)使用腾讯T-Sec主机安全(云镜)检测服务器漏洞
登录腾讯主机安全控制台,对Apache Dubbo反序列化漏洞进行排查。步骤细节如下:
1)主机安全(云镜)控制台:如当前进入【授权管理】页面绑定主机安全授权,选中“绑定授权”并选择待扫描机器;
2)打开【漏洞管理】->应急漏洞,对“应急漏洞-Apache Dubbo反序列化远程代码执行漏洞”进行扫描检测
3)查看扫描到的漏洞风险项目;
4)确认资产存在漏洞风险;
5)升级到安全版本;
6)回到主机安全(云镜)控制台再次打开【漏洞管理】,重新检测确保资产不受漏洞影响。
(2)使用腾讯容器安全服务(TCSS)检测容器镜像漏洞
登录腾讯容器安全服务控制台,进入【漏洞管理】页面,对本地镜像和仓库镜像进行排查。步骤细节如下:
1)容器安全服务控制台:打开【漏洞管理】->应急漏洞点击“一键检测”或“检测应急漏洞”;
2)如镜像尚未授权可以点击批量授权,自选镜像授权扫描;
3)扫描完毕,单击详情确认资产存在漏洞风险;
4)升级到安全版本;
5)回到容器安全服务控制台再次打开【漏洞管理】,重新检测确保资产不受漏洞影响。
3、漏洞防御
根据业务类型可选择云防火墙虚拟补丁、Web应用防火墙基础安全进行防护,同时借助主机安全和容器安全泰石引擎RASP+解决方案对主机/容器进行防护:
业务类型 | 防护产品 | 产品功能 |
公网IP业务 | 云防火墙 | 虚拟补丁 |
域名业务 | Web应用防火墙 | 基础安全 |
(1)公网IP业务防护:使用腾讯T-Sec云防火墙虚拟补丁
适用于绑定公网IP对外提供服务的业务类型,通过虚拟补丁功能,一键开启针对漏洞利用的检测与自动拦截,无需重启服务。步骤细节如下:
1)登录腾讯T-Sec云防火墙控制台,开启互联网边界开关;
2)进入【入侵防御】页面,云防火墙已新增规则拦截Apache Dubbo反序列化远程代码执行漏洞,开启拦截模式即可抵御漏洞利用攻击;
(2)域名业务防护:使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击
适用于通过域名对外提供服务的业务类型,通过WAF可实现针对HTTP/HTTPS流量的漏洞防护与虚拟补丁
1)确认业务是否已经接入Web应用防火墙(以下简称WAF):
业务在腾讯云外,领用SaaS-WAF(需做域名调度)
详细接入指引:
https://cloud.tencent.com/document/product/627/18631
业务在腾讯云内且有七层CLB,领用CLB-WAF(无需业务变动)
详细接入指引:
https://cloud.tencent.com/document/product/627/40765
2)登录腾讯T-Sec Web应用防火墙控制台,依次打开左侧【资产中心-域名列表】,添加域名并开启防护即可。步骤细节如下:
Web应用防火墙控制台:【资产中心—域名列表】,点击【添加域名】。
SaaS-WAF域名接入:输入域名,配置端口,源站地址或者域名,点击确定即可。新增域名成功后【资产中心—基础安全】防护默认打开。
CLB-WAF(负载均衡型)域名接入:输入域名,配置代理,负载均衡监听器,点击确定即可。新增域名成功后【资产中心—基础安全】防护默认打开。
域名列表查看配置,防护开关、回源IP等接入情况,确认接入成功。
(3)主机/容器防护:使用腾讯T-Sec主机安全(云镜)腾讯容器安全服务(TCSS)泰石引擎RASP+方案对主机/容器进行防御
泰石引擎RASP+方案支持java反序列化通用防御,可自动注入RASP插件,通过插件管理、虚拟补丁部署,实现一键化漏洞主动防御。
登录腾讯主机安全控制台,开启漏洞防御。(如未授权可参考【漏洞检测】步骤细节)
1)主机安全(云镜)控制台:打开【漏洞管理】->漏洞防御,点击按钮一键开启;
2)容器安全服务控制台:打开【漏洞管理】->漏洞防御,点击按钮一键开启。
五、参考链接
1. CVE-2023-23638:
https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
2. Dubbo 介绍 | Apache Dubbo:
https://cn.dubbo.apache.org/zh-cn/overview/what/
六、联系我们
如需获得帮助可以直接扫码联系我们:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。