653
技術社區[雲棲]
Struts2 REST插件遠程執行命令漏洞全麵分析,WAF支持檢測防禦
漏洞概述
2017年9月5日,Apache Struts 2官方發布一個嚴重級別的安全漏洞公告,該漏洞由國外安全研究組織lgtm.com的安全研究人員發現,漏洞編號為CVE-2017-9805(S2-052)。
在一定條件下,攻擊者可以利用該漏洞遠程發送精心構造的惡意數據包,獲取業務數據或服務器權限,存在高安全風險。
漏洞基本信息
當Struts2使用REST插件使用XStream的實例xstreamhandler處理反序列化XML有效載荷時沒有進行任何過濾,可以導致遠程執行代碼,攻擊者可以利用該漏洞構造惡意的XML內容獲取服務器權限。
利用條件:使用REST插件並在受影響版本範圍內。
利用方式:攻擊者構建惡意數據包遠程利用。
漏洞影響範圍:
Struts 2.3.x全係版本(根據實際測試,2.3版本也存在該漏洞)
Struts 2.5 - Struts 2.5.12
如何檢測漏洞?
建議運維人員或開發人員盡快關注並資產,可以檢查使用了REST插件Struts版本是否在受影響範圍內。如果存在,建議您盡快按照以下方式修複漏洞。
如何規避漏洞風險?
目前官方已經發布補丁,建議升級到 Apache Struts2.5.13、Apache Struts 2.3.34版本。
阿裏雲雲盾WAF已發布該漏洞規則,用戶可以通過WAF,對利用該漏洞的攻擊行為進行檢測和防禦,最大程度減少安全風險。
漏洞詳細分析信息
本次Struts2漏洞起因:一個REST插件struts2-rest-plugin.jar用到了XStreamHandler這個類,這個類對http請求中content-type是application/xml的,調用XStream進行處理,這裏先看一下汙點傳入,如圖:
然而漏洞真正存在域XStream中,觸發的根本在於javax.imageio.spi.FilterIterator類的next()會調用FilterIterator$Filter的filter(),然後javax.imageio.ImageIO$ContainsFilter的filter()方法中會用反射調用java.lang.ProcessBuilder().start()
利用代碼如圖所示:
之前github已經公開利用代碼,上圖代碼隻不過是攻擊者的exp當中的一個payload而已,阿裏雲安全團隊詳細分析,主要是利用javax.imageio.ImageIO$ContainsFilter這個內部類,代碼如圖:
再來看利用代碼,如圖:
這裏用反射將java.lang.ProcessBuilder().start()設置進入ContainsFilter對象裏,以待後麵漏洞觸發時調用
這裏用無參的constructor去newInstance對象,生成空對象,然後再用反射去填充對應屬性,實際上這裏就是對應xml中的每個dom屬性,根據代碼邏輯阿裏雲安全團隊觀察出,這裏層層封裝最終放到nativeString對象的value屬性裏,然後繼續跟蹤代碼
最終將上麵NativeString的對象放到了HashMap裏,
最後對上麵return的那個hashMap做toXML序列化,然後就有了今天公開的exploit。下麵分析漏洞觸發流程,漏洞觸發就是fromXML重組對象的過程了,如圖:
XStream反序列化的邏輯,實際上是解析XML DOM重組對象的一個過程,如圖:
當解析到jdk.nashorn.internal.objects.NativeString這個類的時候,漏洞觸發,先看下此時的調用棧,如圖:
看到了熟悉的hashCode,這根groovy的反序列化利用類觸發邏輯類似。
因為exp代碼中我們最終將NativeString對象最終放到了hashMap裏然後對hashMap進行序列化,所以當反序列化重組對象的時候,肯定會觸發hashCode邏輯。繼續跟蹤,這裏NativeString和Base64Data都屬於java未公開的代碼,官方未提供源碼,不過可以參考openjdk的源碼,先看NativeString,如圖:
這裏value是前麵封裝的Base64Data的對象,後麵進入Base64Data的邏輯,如圖:
這裏對應依次解析xml中的dataHandler、XmlDataSource的對象,從中取出CipherInputStream的對象,同理依次解析,最終在重組javax.imageio.spi.FilterIterator對象的時候觸發漏洞,這裏看一下利用代碼,如圖:
這裏cfCons.newInstance(ProcessBuilder.class.getMethod("start"), "foo")被設置為FilterIterator的filter,因為javax.imageio.spi.FilterIterator類的next()會調用FilterIterator$Filter的filter()函數,而此時FilterIterator$Filter正是javax.imageio.ImageIO$ContainsFilter,在javax.imageio.ImageIO$ContainsFilter的filter()下斷,代碼如圖:
這裏的method是正是ProcessBuilder().start()方法,此時調用棧如圖:
最終觸發成功,漏洞複現如下圖:
分析總結
阿裏雲安全團隊回顧Struts2 發布的官方安全公告,發現Struts2應該說是當前Java web框架裏麵存在安全問題最多的。
本次官方漏洞公告對外發出受影響版本為2.5.X全係,但在實際測試過程發現,2.3.X全係版本同樣存在此漏洞。
作為安全運維人員和開發人員,我們需要做的就是快速獲取漏洞情報,快速響應和處置,把業務風險降到最低。
來源:阿裏雲安全
原文鏈接
最後更新:2017-09-08 10:32:45