CVE-2020-9548|FastXML Jackson-databind远程代码执行漏洞

2020年3月2日，NVD发布了一则FasterXML Jackson-databind远程代码执行漏洞信息，CVE编号：CVE-2020-9548。攻击者可以利用缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行任意代码。 

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象，同样也可以将json转换成Java对象。

2020年3月2日，NVD发布了一则FasterXML Jackson-databind远程代码执行漏洞信息，CVE编号：CVE-2020-9548。该漏洞是由JNDI注入导致远程代码执行， Jackson-databind 2.0.0 - 2.9.10.3版本中缺少br.com.anteros.dbcp.AnterosDBCPConfig黑名单类，攻击者可以利用上述缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行任意代码。 

以Jackson-databind 2.10.1 + Anteros-DBCP-1.0.1 + metrics-healthchecks-3.0.2作为漏洞环境进行分析，Jackson-databind会进行内部的初始化。之后会处理我们传入的json数据。漏洞主要存在于Anteros-DBCP库中的br.com.anteros.dbcp.AnterosDBCPConfig类中。

我们跟踪一下漏洞利用的过程，当Jackson-databind接收一段json数据之后，会在ReaderBasedJsonParser类中解析Json数据，逐位判断字符。如下图：

通过双引号判断字段名的起始和结束。解析json数据得到的类会在call方法中实例化，并在调用构造方法进行内部成员变量的初始化

获取传入json数据中的字段名，通过反序列化操作，为内部属性赋值

通过反射的方式调用类中方法。当执行br.com.anteros.dbcp.AnterosDBCPConfig类中getObjectOrPerformJndiLookup方法时，受害主机会访问攻击者传入的恶意链接，加载恶意文件，从而触发远程代码执行攻击。

经验证，metricRegistry和healthCheckRegistry属性都可以完成漏洞的利用。

搭建Jackson-databind 2.10.1 + Anteros-DBCP-1.0.1 + metrics-healthchecks-3.0.2环境，传入精心构造的json数据，让目标服务器加载远程主机上的恶意文件，从而在目标主机上执行任意代码。效果如图：

目前受影响的Jackson-databind版本：

Jackson-databind 2.0.0 - 2.9.10.3

官方发布的最新版本已经修复了此漏洞，请受影响的用户下载最新版本防御此漏洞。

下载链接：https://github.com/FasterXML/jackson-databind/releases

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。