服务公告

全部公告 > 安全公告 > Apache Shiro历史高危反序列化漏洞预警 (shiro-550、shiro-721)

Apache Shiro历史高危反序列化漏洞预警 (shiro-550、shiro-721)

2021-06-16

一、概要

      近期,华为云安全运营中心监测到多起外部攻击者利用Apache Shiro历史反序列化高危漏洞(shiro-550、shiro-721)进行攻击入侵的事件,并且可能有上升趋势。经分析,均是由于shiro组件中不安全的AES加密密钥被爆破,进而利用反序列化漏洞(shiro-550、shiro-721)入侵。

      从版本维度:

      Shiro <= 1.2.4 :存在shiro-550反序列化漏洞;

      1.2.5 <= Shiro  < 1.4.2 :存在shiro-721反序列化漏洞;

      Shiro > = 1.4.2 :如果用户使用弱密钥(互联网已公开/已泄露),即使升级至最新版本,仍然存在反序列化漏洞入口。

      shiro-550、shiro-721均是Apache在2016年披露出来的历史高危漏洞。目前互联网早已出现较为成熟的漏洞检测和利用工具,华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。

      参考链接:

      https://issues.apache.org/jira/browse/SHIRO-550

      https://issues.apache.org/jira/browse/SHIRO-721

二、威胁级别

      威胁级别:【严重】

    (说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

      影响版本:

      shiro-550 :Shiro < = 1.2.4

      shiro-721:1.2.5 <= Shiro  < 1.4.2

    (注:shiro >= 1.4.2 ,如果密钥泄露,攻击者可利用shiro反序列化入口进行攻击)

四、漏洞处置

      受影响的shiro用户请参考如下几点进行排查和加固:

      1、更换shiro组件中的AES密钥,不要使用网上已公开的密钥,使用shiro官方提供的方法随机生成自己的密钥,并妥善保管好该密钥;

      官方密钥生成方法:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

      2、对外提供服务的和能够被远程访问的进程,如Web服务,不应使用“root”或属于root用户组中的用户;

      3、及时更新补丁或升级系统,使用最新最稳定的安全版本。当前Apache-shiro最新版本为1.7.1;

      下载地址:https://shiro.apache.org/

      4、做好网络访问控制,管理好主机的访问公网能力以及对公网开放的端口,做好精细化访问控制。

      注:修复漏洞前请将资料备份,并进行充分测试。