服务公告
Apache Shiro历史高危反序列化漏洞预警 (shiro-550、shiro-721)
2021-06-16
一、概要
近期,华为云安全运营中心监测到多起外部攻击者利用Apache Shiro历史反序列化高危漏洞(shiro-550、shiro-721)进行攻击入侵的事件,并且可能有上升趋势。经分析,均是由于shiro组件中不安全的AES加密密钥被爆破,进而利用反序列化漏洞(shiro-550、shiro-721)入侵。
从版本维度:
Shiro <= 1.2.4 :存在shiro-550反序列化漏洞;
1.2.5 <= Shiro < 1.4.2 :存在shiro-721反序列化漏洞;
Shiro > = 1.4.2 :如果用户使用弱密钥(互联网已公开/已泄露),即使升级至最新版本,仍然存在反序列化漏洞入口。
shiro-550、shiro-721均是Apache在2016年披露出来的历史高危漏洞。目前互联网早已出现较为成熟的漏洞检测和利用工具,华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。
参考链接:
https://issues.apache.org/jira/browse/SHIRO-550
https://issues.apache.org/jira/browse/SHIRO-721
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
shiro-550 :Shiro < = 1.2.4
shiro-721:1.2.5 <= Shiro < 1.4.2
(注:shiro >= 1.4.2 ,如果密钥泄露,攻击者可利用shiro反序列化入口进行攻击)
四、漏洞处置
受影响的shiro用户请参考如下几点进行排查和加固:
1、更换shiro组件中的AES密钥,不要使用网上已公开的密钥,使用shiro官方提供的方法随机生成自己的密钥,并妥善保管好该密钥;
官方密钥生成方法:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()
2、对外提供服务的和能够被远程访问的进程,如Web服务,不应使用“root”或属于root用户组中的用户;
3、及时更新补丁或升级系统,使用最新最稳定的安全版本。当前Apache-shiro最新版本为1.7.1;
下载地址:https://shiro.apache.org/
4、做好网络访问控制,管理好主机的访问公网能力以及对公网开放的端口,做好精细化访问控制。
注:修复漏洞前请将资料备份,并进行充分测试。