【漏洞预警】Apache Dubbo远程代码执行漏洞

1. 通告信息

近日，安识科技A-Team团队监测到Apache发布安全公告，修复了一个Apache Dubbo中的远程代码执行漏洞。漏洞威胁等级：严重。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞，未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

CVE: CVE-2021-43297

简述：Apache Dubbo是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞，未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议，在Hessian 捕获到异常时，Hessian将会注销一些用户信息，这可能会导致远程命令执行。

3. 漏洞危害

攻击者可利用该漏洞在未经身份验证的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

4. 影响版本

目前受影响的Apache Dubbo版本：

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

5. 解决方案

1、紧急缓解措施：

（1） 关闭对公网开放的Dubbo服务端端口，仅允许可信任的IP访问。

（2） Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下，建议更换协议以及反序列化方式。

（3） 具体方法请参考官方文档：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

2、正式防护方案：

（1）厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：3.0.5、 2.7.15、2.6.12

6. 时间轴

【-】2022年1月13日 安识科技A-Team团队监测到Apache发布安全公告

【-】2022年1月13日 安识科技A-Team团队根据漏洞信息分析

【-】2022年1月14日 安识科技A-Team团队发布安全通告