Apache Shiro历史高危反序列化漏洞预警 (shiro-550、shiro-721)

一、概要

近期,华为云安全运营中心监测到多起外部攻击者利用Apache Shiro历史反序列化高危漏洞(shiro-550、shiro-721)进行攻击入侵的事件,并且可能有上升趋势。经分析,均是由于shiro组件中不安全的AES加密密钥被爆破,进而利用反序列化漏洞(shiro-550、shiro-721)入侵。

从版本维度:

Shiro <= 1.2.4 :存在shiro-550反序列化漏洞;

1.2.5 <= Shiro  < 1.4.2 :存在shiro-721反序列化漏洞;

Shiro > = 1.4.2 :如果用户使用弱密钥(互联网已公开/已泄露),即使升级至最新版本,仍然存在反序列化漏洞入口。

shiro-550、shiro-721均是Apache在2016年披露出来的历史高危漏洞。目前互联网早已出现较为成熟的漏洞检测和利用工具,华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。

参考链接:

https://issues.apache.org/jira/browse/SHIRO-550

https://issues.apache.org/jira/browse/SHIRO-721

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

shiro-550 :Shiro < = 1.2.4

shiro-721:1.2.5 <= Shiro  < 1.4.2

(注:shiro >= 1.4.2 ,如果密钥泄露,攻击者可利用shiro反序列化入口进行攻击)

四、漏洞处置

受影响的shiro用户请参考如下几点进行排查和加固:

1、更换shiro组件中的AES密钥,不要使用网上已公开的密钥,使用shiro官方提供的方法随机生成自己的密钥,并妥善保管好该密钥;

官方密钥生成方法:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

2、对外提供服务的和能够被远程访问的进程,如Web服务,不应使用“root”或属于root用户组中的用户;

3、及时更新补丁或升级系统,使用最新最稳定的安全版本。当前Apache-shiro最新版本为1.7.1;

下载地址:https://shiro.apache.org/

4、做好网络访问控制,管理好主机的访问公网能力以及对公网开放的端口,做好精细化访问控制。

注:修复漏洞前请将资料备份,并进行充分测试。

联系我们

4000888724

在线咨询:点击这里给我发消息

邮件:service@hwc.cn

地址:点击这里成为 → 华为云精英服务商(申请)


Telegram:@ChinaCloud
境外邮件:service@siyi.hk

QR code

添加华为云专属客户经理微信,获取更多华为云优惠信息!

×