【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告

  • A+
所属分类:安全漏洞
【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信 CERT 监测到 Apache Shiro 官方发布漏洞补丁,漏洞编号 CVE-2020-17523 ,漏洞影响版本低于 1.7.1 的 Apache Shiro 。当Apache Shiro与 Spring 结合使用时,在一定权限匹配规则下,攻击者可通过构造特殊的 HTTP 请求包来实现身份认证绕过。鉴于漏洞危害较大,建议用户及时安装更新补丁。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知




漏洞描述

Apache Shiro 是一个开源安全框架,拥有身份验证、授权、加密和会话管理的功能。当它和 Spring 结合使用时,在一定权限匹配规则下,攻击者可通过构造特殊的 HTTP 请求包完成身份认证绕过。

奇安信 CERT 第一时间复现了 CVE-2020-17523 漏洞,复现截图如下:


【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告


【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告



风险等级

奇安信 CERT风险评级为:中危
风险等级:蓝色(一般事件)



影响范围

Apache Shiro < 1.7.1



处置建议

升级到 Apache Shiro 1.7.1 。更新链接:
https://github.com/apache/shiro/releases/tag/shiro-root-1.7.1


产品解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0202.12626上版本。规则名称:Apache shiro 身份认证绕过漏洞,规则ID:0x10020BC6。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6212,建议用户尽快升级检测规则库至2102021800以后版本并启用该检测规则。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache shiro 身份认证绕过漏洞的防护。


奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2102021700” 及以上版本并启用规则ID: 1233101进行检测。


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2021.02.05版本,支持对Apache Shiro身份验证绕过漏洞的防护,当前规则正在测试中,将于2月5日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10240版本,支持对Apache Shiro 身份验证绕过漏洞的防护,当前规则正在测试中,将于2月5日发布,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信开源卫士已更新

奇安信开源卫士20210202. 581版本已支持对Apache shiro身份认证绕过漏洞(CVE-2020-17523)的检测。



参考资料

[1] https://shiro.apache.org/



时间线

2021年2月2日,奇安信 CERT发布安全风险通告 


【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告点击阅读原文 
到奇安信NOX-安全监测平台查询更多漏洞详情





【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【安全风险通告】Apache Shiro身份认证绕过漏洞安全风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: