FastJSON的0day漏洞报告

1、问题背景

fastjson是阿里巴巴的开源JSON解析库，它能够解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也能够从JSON字符串反序列化到JavaBean，因为具备执行效率高的特色，应用范围很广

2019年6月22日，阿里云云盾应急响应中心监测到FastJSON存在0day漏洞，攻击者能够利用该漏洞绕过黑名单策略进行远程代码执行

关于fastjson javaweb框架的0day漏洞情报，因为fastjson在进行实例化对象时没有对输入数据进行严格限制，攻击者只要精心构造json数据，便可形成远程代码执行，截止到发稿日，关于该漏洞的利用方式暂未公开，请相关用户及时进行防御。

2019年6月22日，阿里云云盾应急响应中心监测到FastJSON存在0day漏洞，攻击者能够利用该漏洞绕过黑名单策略进行远程代码执行。

1.一、漏洞名称

FastJSON远程代码执行0day漏洞

1.二、漏洞描述

利用该0day漏洞，恶意攻击者能够构造攻击请求绕过FastJSON的黑名单策略。例如，攻击者经过精心构造的请求，远程让服务端执行指定命令（如下示例中成功运行计算器程序）。

1.三、影响范围

• FastJSON 1.2.30及如下版本
• FastJSON 1.2.41至1.2.45版本

1.四、官方解决方案

升级至FastJSON最新版本，建议升级至1.2.58版本。

 

说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。

升级方法

您能够经过更新Maven依赖配置，升级FastJSON至最新版本（1.2.58版本）。

 

<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.58</version> </dependency>

1.五、防御建议

（1）Web应用防火墙

Web应用防火墙的Web攻击防御规则中已默认配置相应规则防御该FastJSON 0day漏洞，启用Web应用防火墙的Web应用攻击防御功能便可。

说明 若是您的业务使用 自定义规则组功能自定义所应用的防御规则，请务必在自定义规则组中添加如下规则：

 

以上参考：https://helpcdn.aliyun.com/document_detail/123431.html

（2）WAF自定义防御规则

FastJson是阿里的一个开源Json解析库，能够将数据在JSON和Java Object之间互相转换，此前曾被爆出存在反序列化漏洞。为预防FastJson库存在0day漏洞，现提供两条自定义规则，可根据状况选择一个添加。也能够同时添加两个，若是有误报，再取消。此自定义规则主要针对存在JAVA系统并使用了该库的客户。

自定义规则--精准防御

检测对象>request_body

匹配操做>正则包含

检测值>['"]\s*@type\s*['"].*?(com\.(sun|mchange)|org\.(apache|codehaus|hibernate|jboss|mozilla|python)|java\.(lang\.Thread|net\.Socket|rmi)|javax\.xml|bsh)

自定义规则--暴力防御

检测对象>request_body

匹配操做>正则包含

检测值>['"]\s*@type\s*['"]

 

防御验证截图

TAM关于fastjson javaweb框架0day漏洞回溯和实时检测

ssh后台执行（后台执行速度相对比较快，推荐此方式）

1. 肯定Spark组件位置：点击BSA首页右上角齿轮，选择集群管理，进入组件，点击查看Spark组件，以下图：
   
   
   记录下主机名称，例如bsa12

2. ssh登录BSA后台，执行以下命令(将SparkSqlServer主机地址替换至绿色背景，而后复制该命令而且回车)：
   先切换bsauser帐号 su – bsauser
   而后执行

   ./spark-1.3.0-bin-hadoop2.4/bin/beeline -u jdbc:hive2://bsa12:10000 --verbose=true --showHeader=true --outputformat=tsv2 --color=true -e "select sip, dip, from_unixtime(timestamp) as timestamp, ret_code, host, uri, post_data from internal_app_bsatam2.tam_httplog where ns_date>=20190610 and (post_data rlike '@type' or uri rlike '@type');" > fastjson_export.csv

   等待上述任务执行完成以后，若是当前目录下有fastjson _export.csv文件且文件中有内容时，说明20190610至今的历史流量中出现过fastjson漏洞攻击。

tam界面执行自定义查询（当没法ssh后台时，可在TAM的界面上操做。相比后台执行稍慢，不推荐）

1. 进入挖掘检索—自定义查询—新建查询
   

2. 将上述下列SQL粘贴至下图所示位置：

   select sip, dip, from_unixtime(timestamp) as timestamp, ret_code, host, uri, post_data from internal_app_bsatam2.tam_httplog where ns_date>=20190610 and (post_data rlike '@type' or uri rlike '@type')

3. 点击校验。耐心等待校验成功后继续点击新建。完成后点击以后，点击下图所示位置开始执行：
   

实时监控

Tam自定义场景监控可用于实时监测，当UTS上没有配置该规则时，使用TAM的自定义场景的检测功能：

1. 进入场景管理—场景配置—自定义场景。选择规则， “fastjson远程代码执行漏洞利用检测”配置以下
   

2. 将下列SQL粘贴至规则输入

   select sip, dip, timestamp as start_time, timestamp as end_time, ret_code as info3, concat(host, uri) as infos, post_data as info2, timestamp as end_time from internal_app_bsatam2.tam_httplog where post_data rlike '@type' or uri rlike '@type')

    

问题补充：

该缺陷是因旧缺陷修复方案引发，缘由以下：

在fastjson 1.2.24版本以前（包括1.2.24版本），fastjson 在使用JSON.parseObject方法时，因为使用泛型(Object.class)反序列化的场景时，存在恶意构造序列化内容形成执行服务器命令。即在远程服务器场景，若是使用fastjson作为远程报文内容反序列化，且泛型使用，则存在期可能。

在1.2.24版本以后该缺陷已修复，修复方案采用默认关闭autoType，即自动泛型反序列化，且若是打开autoType，也加入了黑名单，对存在易被利用攻击的类进行了黑名单处理。此次漏洞风险内容为：打开了autoType的状况下，能够经过0day漏洞绕过黑名单。绕过的方式，暂时不详。