怎么分析FasterXML/jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞

這篇文章將為大家詳細(xì)講解有關(guān)怎么分析FasterXML/jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

0x00 漏洞背景

2020年02月21日， 360CERT監(jiān)測(cè)到jackson-databind為一例新的反序列化利用鏈申請(qǐng)了漏洞編號(hào)CVE-2020-8840。

jackson-databind 是隸屬 FasterXML 項(xiàng)目組下的JSON處理庫。

該漏洞影響jackson-databind對(duì) JSON 文本的處理流程。攻擊者利用特制的請(qǐng)求可以觸發(fā)遠(yuǎn)程代碼執(zhí)行，攻擊成功可獲得服務(wù)器的控制權(quán)限（Web服務(wù)等級(jí)）。

0x01 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞進(jìn)行評(píng)定

360CERT建議廣大用戶及時(shí)更新jackson-databind版本。做好資產(chǎn) 自查/自檢/預(yù)防 工作，以免遭受攻擊。

0x02 影響版本

jackson-databind 2.0.0 ~ 2.9.10.2

0x03 修復(fù)建議

升級(jí) jackson-databind 至

• 2.9.10.3

• 2.8.11.5

• 2.10.x

同時(shí) 360CERT 強(qiáng)烈建議排查項(xiàng)目中是否使用 xbean-reflect。該次漏洞的核心原因是xbean-reflect 中存在特殊的利用鏈允許用戶觸發(fā)JNDI遠(yuǎn)程類加載操作。將xbean-reflect移除可以緩解漏洞所帶來的影響。

0x04 漏洞證明

在處理JSON內(nèi)容時(shí)觸發(fā)代碼執(zhí)行。

同時(shí)jackson-databind被多個(gè)項(xiàng)目依賴，易被用戶忽略。360CERT 建議用戶遵從修復(fù)建議進(jìn)行逐一排查。

0x05 產(chǎn)品側(cè)解決方案

360城市級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)

360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過資產(chǎn)測(cè)繪技術(shù)手段，對(duì)該類 漏洞/事件 進(jìn)行監(jiān)測(cè)，請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對(duì)應(yīng)產(chǎn)品。

360AISA全流量威脅分析系統(tǒng)

360AISA基于360海量安全大數(shù)據(jù)和實(shí)戰(zhàn)經(jīng)驗(yàn)訓(xùn)練的模型，進(jìn)行全流量威脅檢測(cè)，實(shí)現(xiàn)實(shí)時(shí)精準(zhǔn)攻擊告警，還原攻擊鏈。

目前產(chǎn)品具備該漏洞/攻擊的實(shí)時(shí)檢測(cè)能力。

關(guān)于怎么分析FasterXML/jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。