Apache Shiro歷史高危反序列化漏洞預警 （shiro-550、shiro-721）

2021-06-16

一、概要

      近期，華為云安全運營中心監(jiān)測到多起外部攻擊者利用Apache Shiro歷史反序列化高危漏洞（shiro-550、shiro-721）進行攻擊入侵的事件，并且可能有上升趨勢。經(jīng)分析，均是由于shiro組件中不安全的AES加密密鑰被爆破，進而利用反序列化漏洞（shiro-550、shiro-721）入侵。

      從版本維度：

      Shiro <= 1.2.4 ：存在shiro-550反序列化漏洞；

      1.2.5 <= Shiro  < 1.4.2 ：存在shiro-721反序列化漏洞；

      Shiro > = 1.4.2 ：如果用戶使用弱密鑰（互聯(lián)網(wǎng)已公開/已泄露），即使升級至最新版本，仍然存在反序列化漏洞入口。

      shiro-550、shiro-721均是Apache在2016年披露出來的歷史高危漏洞。目前互聯(lián)網(wǎng)早已出現(xiàn)較為成熟的漏洞檢測和利用工具，華為云提醒使用Apache Shiro的用戶及時安排自檢并做好安全加固。

      參考鏈接：

      https://issues.apache.org/jira/browse/SHIRO-550

      https://issues.apache.org/jira/browse/SHIRO-721

二、威脅級別

      威脅級別：【嚴重】

    （說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

      影響版本：

      shiro-550 ：Shiro < = 1.2.4

      shiro-721：1.2.5 <= Shiro  < 1.4.2

    （注：shiro >= 1.4.2 ，如果密鑰泄露，攻擊者可利用shiro反序列化入口進行攻擊）

四、漏洞處置

      受影響的shiro用戶請參考如下幾點進行排查和加固：

      1、更換shiro組件中的AES密鑰，不要使用網(wǎng)上已公開的密鑰，使用shiro官方提供的方法隨機生成自己的密鑰，并妥善保管好該密鑰；

      官方密鑰生成方法：org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

      2、對外提供服務(wù)的和能夠被遠程訪問的進程，如Web服務(wù)，不應(yīng)使用“root”或?qū)儆趓oot用戶組中的用戶；

      3、及時更新補丁或升級系統(tǒng)，使用最新最穩(wěn)定的安全版本。當前Apache-shiro最新版本為1.7.1；

      下載地址：https://shiro.apache.org/

      4、做好網(wǎng)絡(luò)訪問控制，管理好主機的訪問公網(wǎng)能力以及對公網(wǎng)開放的端口，做好精細化訪問控制。

      注：修復漏洞前請將資料備份，并進行充分測試。