长按二维码关注
御见威胁情报中心
【背景】
近日,安全研究者 threedr3am,LFY 和 V1ZkRA向 FasterXML 提交了两个gadget,可用作jackson-databind的RCE(远程代码执行)。
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。
【漏洞详情】
两个gadget分别是ibatis-sqlmap和metrics-healthchecks。官方在2.10的版本中将这两个gadget加入黑名单。
若项目工程中存在这两个类中的任意一个类,则通过JNDI注入可造成RCE。
利用ibatis-sqlmap复现:
【风险评级】中危
【影响版本】
1. 项目中还使用了ibatis-sqlmap和metrics-healthchecks组件。
2 .jackson-databind使用2.10.0之前的版本。
【修复建议】
1.升级jackson-databind到2.10.0。
在Jackson 2.10 中引入了Safe Default Typing白名单机制,可杜绝此类gadget的影响。
详情请开发者参考:https://medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba 和
https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
2.推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)对此类攻击行为进行检测。
腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。
参考链接:https://cloud.tencent.com/product/nta
参考链接:
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10
https://medium.com/@cowtowncoder/jackson-2-10-safe-default-typing-2d018f0ce2ba
https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
https://qiita.com/shimizukawasaki/items/f8a3d1aa8412d3a4343a
