Apache Shiro歷史高危反序列化漏洞預(yù)警 （shiro-550、shiro-721）

2021-06-16

一、概要

      近期，華為云安全運(yùn)營(yíng)中心監(jiān)測(cè)到多起外部攻擊者利用Apache Shiro歷史反序列化高危漏洞（shiro-550、shiro-721）進(jìn)行攻擊入侵的事件，并且可能有上升趨勢(shì)。經(jīng)分析，均是由于shiro組件中不安全的AES加密密鑰被爆破，進(jìn)而利用反序列化漏洞（shiro-550、shiro-721）入侵。

      從版本維度：

      Shiro <= 1.2.4 ：存在shiro-550反序列化漏洞；

      1.2.5 <= Shiro  < 1.4.2 ：存在shiro-721反序列化漏洞；

      Shiro > = 1.4.2 ：如果用戶使用弱密鑰（互聯(lián)網(wǎng)已公開/已泄露），即使升級(jí)至最新版本，仍然存在反序列化漏洞入口。

      shiro-550、shiro-721均是Apache在2016年披露出來的歷史高危漏洞。目前互聯(lián)網(wǎng)早已出現(xiàn)較為成熟的漏洞檢測(cè)和利用工具，華為云提醒使用Apache Shiro的用戶及時(shí)安排自檢并做好安全加固。

      參考鏈接：

      https://issues.apache.org/jira/browse/SHIRO-550

      https://issues.apache.org/jira/browse/SHIRO-721

二、威脅級(jí)別

      威脅級(jí)別：【嚴(yán)重】

    （說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

      影響版本：

      shiro-550 ：Shiro < = 1.2.4

      shiro-721：1.2.5 <= Shiro  < 1.4.2

    （注：shiro >= 1.4.2 ，如果密鑰泄露，攻擊者可利用shiro反序列化入口進(jìn)行攻擊）

四、漏洞處置

      受影響的shiro用戶請(qǐng)參考如下幾點(diǎn)進(jìn)行排查和加固：

      1、更換shiro組件中的AES密鑰，不要使用網(wǎng)上已公開的密鑰，使用shiro官方提供的方法隨機(jī)生成自己的密鑰，并妥善保管好該密鑰；

      官方密鑰生成方法：org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

      2、對(duì)外提供服務(wù)的和能夠被遠(yuǎn)程訪問的進(jìn)程，如Web服務(wù)，不應(yīng)使用“root”或?qū)儆趓oot用戶組中的用戶；

      3、及時(shí)更新補(bǔ)丁或升級(jí)系統(tǒng)，使用最新最穩(wěn)定的安全版本。當(dāng)前Apache-shiro最新版本為1.7.1；

      下載地址：https://shiro.apache.org/

      4、做好網(wǎng)絡(luò)訪問控制，管理好主機(jī)的訪問公網(wǎng)能力以及對(duì)公網(wǎng)開放的端口，做好精細(xì)化訪問控制。

      注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。