安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析

admin
admin
admin
137989
文章
113
评论
2023年12月18日20:47:39评论149 views字数 830阅读2分46秒阅读模式

漏洞描述

2023年12月15日,Apache 官方发布安全通告,披露了其 Dubbo 存在反序列化漏洞,漏洞编号CVE-2023-29234。

Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。

据官方描述,Apache Dubbo 某些版本在解码恶意包时存在反序列化漏洞,导致远程攻击者可利用该漏洞执行任意代码。

影响版本

  • 3.1.0 <= Apache Dubbo <= 3.1.10

  • 3.2.0 <= Apache Dubbo <= 3.2.4

解决方案

升级修复方案

升级Apache Dubbo 至对应安全版本。

漏洞复现

补丁分析

  • https://github.com/apache/dubbo/commits/dubbo-3.1.11

  • https://github.com/apache/dubbo/commit/9ae97ea053dad758a0346a9acda4fbc8ea01429a

安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析

toString 这个补丁对Dubbo 历史漏洞分析过的应该很熟悉,在CVE-2021-43297 中,就是利用 "+" 的隐式调用触发了toString,造成反序列化。

复现

回溯调用链如下:

ObjectInput#readThrowable  DecodeableRpcResult#handleException      DecodeableRpcResult#decode

DecodeableRpcResult 是consumer 上的行为,初步判断这个漏洞是provider打consumer。其余的原理与CVE-2021-43297 相似。

安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析

影响评估:需要consumer主动去连接provider,场景如下:

  1. 利用producer 横向移动consumer。

  2. 内网如果zookeeper未授权,可以用fake producer攻击consumer。

原文始发于微信公众号(云鼎实验室):安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月18日20:47:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析https://cn-sec.com/archives/2313213.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息