2021年1月13日,国外某安全研究团队披露了Laravel <= 8.4.2 存在远程代码执行漏洞,攻击者利用漏洞可以完全控制服务器。
1
漏洞详情
2021年1月13日,国外某安全研究团队披露 Laravel <= 8.4.2 存在远程代码执行漏洞。
Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时,攻击者可以发起恶意的请求构造恶意的日志文件,再通过phar协议去访问日志触发php反序列化漏洞,造成命令执行。
但是日志位置不固定,不一定能攻击成功,不过利用php的ftp协议,可以实现稳定的ssrf,让php去下载恶意的tcp数据包,再发送给内部的其它服务,比如本地有php-fpm服务,则可以实现稳定RCE(远程代码执行),攻击者利用漏洞可以完全控制服务器。
该漏洞的技术细节已在互联网公开,腾讯安全专家提醒受影响的用户尽快采取升级相关组件,阻止漏洞攻击。
Laravel 是一个免费的开源 PHP Web 框架,旨在实现的Web软件的MVC架构。Laravel与Symfony、Zend、CodeIgniter、Yii2 和其他框架一起被视为最受欢迎的 PHP 框架之一。
2漏洞编号
CVE-2021-3129
3
漏洞等级
高危
4
受影响的版本
Laravel 框架 <= 8.4.2
facade ignition 组件 < 2.5.2
5
安全版本
Laravel框架 >= 8.4.3
facade ignition 组件 >= 2.5.2
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,Laravel组件分布相对分散,美国占比最高(34.16%)、其次是中国(8.66%)、印尼(6.07%)。在中国大陆地区,浙江、北京、上海、广东四省市占比接近80%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。
7
漏洞修复建议
腾讯安全专家建议受影响的用户将 Laravel 框架升级至8.4.3及以上版本,或将 facade ignition组件升级至 2.5.2 及以上版本。
注:修复漏洞前请备份资料,并进行充分测试。
8
腾讯安全解决方案
1.腾讯T-Sec主机安全(云镜)漏洞库2021-1-14后的版本已支持检测Laravel远程代码执行漏洞(CVE-2021-3129);
2.腾讯T-Sec云防火墙规则库2021-1-14之后的版本,已支持对Laravel远程代码执行漏洞利用的检测和拦截。腾讯云防火墙内置入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用;
3.腾讯T-Sec高级威胁检测系统(御界)规则库2021-1-14之后的版本,已支持对Laravel远程代码执行漏洞利用的检测和拦截;
4.腾讯T-Sec Web应用防火墙(WAF)已支持防护 Laravel远程代码执行漏洞(CVE-2021-3129)。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
参考链接:
https://github.com/facade/ignition/pull/334
https://www.ambionics.io/blog/laravel-debug-rce
本文始发于微信公众号(腾讯安全威胁情报中心):Laravel远程代码执行漏洞风险通告,腾讯安全全面检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论