媒體報(bào)道

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

通告| XStream多個(gè)高危漏洞安恒AiLPHA解決方案來應(yīng)對(duì)

閱讀量：次

近日，安恒AiLPHA安全團(tuán)隊(duì)監(jiān)測(cè)到XStream官方發(fā)布漏洞公告，公開了多個(gè)XStream高危漏洞的詳細(xì)信息。其中CVE-2021-39152、CVE-2021-39144等多個(gè)漏洞允許攻擊者通過構(gòu)造特殊的XML數(shù)據(jù)繞過XStream黑名單限制，從而在目標(biāo)機(jī)器上執(zhí)行任意代碼。目前該漏洞的細(xì)節(jié)及POC已公開，安恒AiLPHA安全團(tuán)隊(duì)建議客戶盡快自查XStream版本，升級(jí)到安全版本以避免受此影響。

漏洞基本信息

XStream 是一個(gè)簡(jiǎn)單的Java庫(kù)，可以輕易地將Java對(duì)象和XML文檔相互轉(zhuǎn)換,它不需要其它輔助類和映射文件，這使得XML序列化不再繁瑣。

其中XStream任意代碼執(zhí)行漏洞(CVE-2021-39139、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39152、CVE-2021-39153、CVE-2021-39154)允許攻擊者通過構(gòu)造惡意的XML文件，繞過XStream的黑名單機(jī)制，從而觸發(fā)反序列化，導(dǎo)致反序列化代碼執(zhí)行，并因此造成任意代碼執(zhí)行。

其中XStream SSRF漏洞(CVE-2021-39150)允許攻擊者通過構(gòu)造惡意的XML文件，可以繞過XStream的黑名單機(jī)制，從而觸發(fā)反序列化，導(dǎo)致反序列化代碼執(zhí)行，并因此導(dǎo)致服務(wù)器端偽造請(qǐng)求(SSRF)。

安恒AiPHA已復(fù)現(xiàn)部分漏洞(CVE-2021-39152)，截圖如下：

危害等級(jí)：高危

影響版本：XStream <= 1.4.17

安恒AiLPHA產(chǎn)品檢測(cè)方案

1.AiLPHA大數(shù)據(jù)平臺(tái)檢測(cè)方案

AiLPHA大數(shù)據(jù)平臺(tái)的流量探針（AiNTA）在第一時(shí)間加入了對(duì)該漏洞的檢測(cè)規(guī)則，請(qǐng)將規(guī)則包升級(jí)到1.1.295版本（AiNTA-v1.1.7_release_ruletag_1.1.295）及以上版本。

規(guī)則名稱：XStream 反序列化命令執(zhí)行漏洞(CVE-2021-39152)，規(guī)則編號(hào)：93007878

AiNTA流探針規(guī)則升級(jí)方法：系統(tǒng)管理->手動(dòng)升級(jí)，選擇“上傳升級(jí)包”。升級(jí)成功后，規(guī)則版本會(huì)變?yōu)樽钚碌陌姹咎?hào)。

請(qǐng)從AiLPHA安全中心下載規(guī)則包。

AiLPHA安全中心地址：

https://ailpha.dbappsecurity.com.cn/#/login

如果沒有賬號(hào)，請(qǐng)從頁面注冊(cè)賬號(hào)：

2.APT攻擊預(yù)警平臺(tái)

APT攻擊預(yù)警平臺(tái)已經(jīng)在第一時(shí)間加入了對(duì)該漏洞的檢測(cè)，請(qǐng)將規(guī)則包升級(jí)到GoldenEyeIPv6_XXXXX_strategy2.0.25349.210824.1及以上版本。

規(guī)則名稱：XStream 反序列化命令執(zhí)行漏洞(CVE-2021-39152)，規(guī)則編號(hào)：93007878

APT攻擊預(yù)警平臺(tái)規(guī)則升級(jí)方法：系統(tǒng)->升級(jí)管理，選擇“手動(dòng)升級(jí)”或“在線升級(jí)”。

APT攻擊預(yù)警平臺(tái)的規(guī)則升級(jí)包請(qǐng)到安恒社區(qū)下載：

https://bbs.dbappsecurity.com.cn/。

漏洞處置建議

官方緩解措施：當(dāng)前官方已發(fā)布最新版本已修復(fù)漏洞，建議受影響的用戶及時(shí)更新官方最新版本。

鏈接如下：https://x-stream.github.io/news.html

臨時(shí)緩解措施：由于其他原因暫時(shí)無法升級(jí)到最新版本的用戶，可根據(jù)官方建議進(jìn)行加固。

鏈接如下：https://x-stream.github.io/security.html#example

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>