【漏洞更新】Apache OFBiz RMI反序列化任意代码执行漏洞

  • A+
所属分类:安全漏洞

漏洞名称Apache OFBiz RMI反序列化任意代码执行漏洞

组件名称 : Apache OFBiz

威胁等级 :

影响范围 Apache OFBiz < 17.12.06

漏洞类型 远程代码执行

利用条件

1、用户认证:不需要用户认证

2、触发方式:远程

综合评价

<综合评定利用难度>:简单,无需授权即可远程代码执行。

<综合评定威胁等级>:高危,能造成远程代码执行。


漏洞分析


组件介绍

OFBiz是一个非常著名的电子商务平台和开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎,工作流引擎,规则引擎等。


2 漏洞描述

2021年3月22日,深信服安全团队监测到一则Apache OFBiz组件存在反序列化远程代码执行漏洞的信息,漏洞编号:CVE-2021-26295,漏洞危害:高危。



该漏洞是由于未对用户的输入做合法的过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。


漏洞复现

搭建Apache OFBiz组件17.12.05版本环境,复现该漏洞,效果如下:

【漏洞更新】Apache OFBiz RMI反序列化任意代码执行漏洞


影响范围


OFBiz是一个非常著名的电子商务平台,已经正式成为Apache的顶级项目: Apache OFBiz。世界上有上千个企业在某方面或多方面依赖于OFBiz。


目前受影响的Apache OFBiz版本:

Apache OFBiz < 17.12.06


解决方案


如何检测组件系统版本

访问OFBiz登录主页面,在右下角可以看到当前版本信息:

【漏洞更新】Apache OFBiz RMI反序列化任意代码执行漏洞


2 官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://ofbiz.apache.org/developers.html


深信服解决方案

【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

注册地址:http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。


时间轴


2021/3/22  深信服监测到Apache OFBiz 反序列化漏洞攻击信息。

2021/3/22  深信服千里目安全实验室发布漏洞通告。

2021/3/24  深信服千里目安全实验室复现该漏洞、发布解决方案。




点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞更新】Apache OFBiz RMI反序列化任意代码执行漏洞


深信服千里目安全实验室

【漏洞更新】Apache OFBiz RMI反序列化任意代码执行漏洞

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞更新】Apache OFBiz RMI反序列化任意代码执行漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: