漏洞预警|Apache Tomcat Session 反序列化代码执行漏洞;Rockwell Automation 发现漏洞
漏洞预警
Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)
漏洞信息
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和Java Server Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等。由于Tomcat本身也内含了一个HTTP服务器,它也可以被视作一个单独的Web服务器。
当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包,可以对使用了自带session同步功能的Tomcat服务器进行攻击。造成远程代码执行。
影响范围
Apache Tomcat 10.x < 10.0.0-M5
Apache Tomcat 9.x < 9.0.35
Apache Tomcat 8.x < 8.5.55
Apache Tomcat 7.x < 7.0.104
漏洞分析
序列化是将运行时变量和程序对象转换成可以存储或传输的形式的过程。反序列化是将序列化形式转换回内存变量和程序对象的过程。使用反序列化本身并不会产生问题。当用户(攻击者)可以控制被反序列化的数据时就出现问题了,例如,如果数据可以通过网络连接传送到反序列化例程中。如果攻击者控制的数据被反序列化,那么它们对内存中的变量和程序对象就会有一些影响。之后,如果攻击者可以影响内存中的变量和程序对象,那么它们可以影响使用这些变量和对象的代码流。这就是反序列化漏洞。
而成功利用Apache Tomcat Session 反序列化代码执行漏洞需要同时满足下列四个条件:
1. 攻击者能够控制服务器上文件的内容和名称。
2. 服务器PersistenceManager配置中使用了FileStore。
3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象。
4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。
整体利用条件较为苛刻,实际危害相对较低,但为了彻底防止漏洞潜在风险,仍建议Apache Tomcat用户修复漏洞。
修复建议
1. 升级Apache Tomcat至安全版本。
版本号 | 下载地址 |
| Apache Tomcat 10.0.0-M5 | https://tomcat.apache.org/download-10.cgi |
| Apache Tomcat 9.0.35 | https://tomcat.apache.org/download-90.cgi |
| Apache Tomcat 8.5.55 | https://tomcat.apache.org/download-80.cgi |
| Apache Tomcat 7.0.104 | https://tomcat.apache.org/download-70.cgi |
2. 禁止使用Session持久化功能FileStore。
3. 单独配置sessionAttributeValueClassNameFilte的值来确保只有特定属性的对象可以被序列化/反序列化。
Rockwell Automation 发现漏洞CVE-2020-12034、CVE-2020-12038
漏洞信息
罗克韦尔自动化有限公司(NYSE: ROK)是全球最大的致力于工业自动化与信息的公司,致力于帮助客户提高生产力,以及世界可持续发展。
近日,工业网络安全公司Claroty的研究人员发现了罗克韦尔产品使用的电子数据表(EDS)子系统中的两个安全漏洞,漏洞与EDS子系统解析EDS文件内容的方式有关。EDS文件包含设备的配置数据,网络管理工具将其用于标识和调试。攻击者可以创建一个恶意的EDS文件,在这个文件被罗克韦尔的软件解析后,可以造成拒绝服务和SQL查询,最终导致攻击者可以在系统上写入或者操作文件。
影响范围
FactoryTalk Linx software:6.00,6.10,6.11
RSLinx Classic <= 4.11.00
RSNetWorx software <= 28.00.00
Studio 5000 Logix Designer software <= 32
漏洞分析
EDS子系统解析EDS文件内容的方式有关。EDS文件是各种网络配置工具使用的简单文本文件,可帮助识别产品并在网络上轻松调试它们。这意味着当罗克韦尔的软件(例如,网络发现实用程序)连接到新型设备时,它将从该设备读取并解析EDS文件,并能够确定该设备的类型和其他有助于该软件的属性以便与设备进行进一步的通信。
CVE-2020-12034是Rockwell Automation EDS Subsystem SQL注入漏洞。该漏洞源于EDS子系统没有对用户输入进行充分的验证,使攻击者可以创建恶意的EDS文件进行SQL注入,导致拒绝服务。
CVE-2020-12038是Rockwell Automation EDS Subsystem 缓冲区溢出漏洞。攻击者可以创建恶意的EDS文件使EDSParser COM对象崩溃,从而导致拒绝服务。
一个简单的例子就是攻击者成功地将自己的物理设备连接到车间网络,然后模拟新设备并利用这些漏洞来访问网络中的工程师站。这说明厂商必须能够监视网络中是否有任何新设备,并及时识别它们,以防止滥用许多供应商提供的自动发现功能。
修复建议
1. 目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.rockwellautomation.com/
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1125928(需要注册)
2. 嵌入式产品的漏洞修复措施:
3. 在防火墙/UTM设备上监视或限制TCP 2222、7153端口和UDP 44818端口。
4. 一般修复措施:
5. 定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离;
6. 远程访问时,建议使用虚拟专用网络(VPN),并确认VPN可能存在的漏洞,需将VPN更新到最新版本。
本周安全态势分析
本周发生的事件有Tomcat的反序列化、Rockwell Automation的SQL注入和拒绝服务漏洞。
- 用户评论
