Xxl Job 受影响的版本存在一个未授权的接口,通过该接口可以反序列化传入的序列化数据。当攻击者传入恶意的序列化数据时,会导致服务器端的任意代码执行,最终成功接管服务器。
漏洞名称 : Xxl Job未授权远程代码执行漏洞
威胁等级 : 高危
影响范围 : Xxl Job <= 2.1.0
漏洞类型 : 远程代码执行
利用难度 : 简单
漏洞分析
1 Xxl Job组件介绍
Xxl-Job是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。
2 漏洞描述
Xxl Job 受影响的版本存在一个未授权的接口,通过该接口可以反序列化传入的序列化数据。当攻击者传入恶意的序列化数据时,会导致服务器端的任意代码执行,最终成功接管服务器。
3 漏洞复现
搭建Xxl Job 2.0.2环境,成功复现漏洞如下:
3 漏洞分析
搭建Xxl-Job 2.0.2环境并进行分析,首先定位到JobApiController类中,寻找一个api接口,可以发现在api方法的注解中设置了PermessionLimit的limit为false。
继续深入,可以发现在handler方法中调用parseRequest方法去解析发送的请求如下:
进入该方法查看,可以发现对传入数据字节流进行了反序列化,由此就可以逐步触发我们传入的payload并执行命令。
影响范围
目前受影响的Xxl Job版本:
Xxl Job <= 2.1.0
解决方案
1 修复建议
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:
https://github.com/xuxueli/xxl-job/tree/v2.2.0
2 临时解决方案
将执行器配置到内网环境中。直接在前端执行器管理界面新增执行器,并配置存在的内网地址。
3 深信服解决方案
【深信服下一代防火墙】预计2020年11月11日,可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】预计2020年11月11日,从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】预计2020年11月11日,可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
时间轴
2020/11/9 深信服千里目安全实验室检测到该反序列化漏洞
2020/11/9 深信服千里目安全实验室分析复现漏洞并发布漏洞安全通告
参考链接
https://github.com/xuxueli/xxl-job/tree/v2.2.0
点击,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。