Fastjson遠(yuǎn)程代碼執(zhí)行漏洞安全預(yù)警與建議

近日，海峽信息安全威脅情報(bào)中心監(jiān)測(cè)到阿里巴巴公司開源Java開發(fā)組件Fastjson存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者利用上述漏洞可遠(yuǎn)程執(zhí)行任意代碼。目前官方已發(fā)布安全版本，海峽信息安全應(yīng)急中心建議受影響單位和用戶立即升級(jí)至安全版本。

一、漏洞描述

Fastjson是阿里巴巴開源的Java對(duì)象和JSON格式字符串的快速轉(zhuǎn)換的工具庫。它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。相關(guān)Fastjson版本存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以在特定依賴下利用此漏洞繞過默認(rèn)autoType關(guān)閉限制，從而反序列化有關(guān)安全風(fēng)險(xiǎn)的類。在特定條件下可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

二、影響范圍

受影響的產(chǎn)品及版本：

特定依賴存在下影響 Fastjson ≤1.2.80

三、安全防范建議

海峽信息提醒各相關(guān)單位和用戶要強(qiáng)化風(fēng)險(xiǎn)意識(shí)，切實(shí)加強(qiáng)安全防范：

1、目前黑盾Web應(yīng)用防火墻、黑盾入侵檢測(cè)系統(tǒng)、黑盾入侵防御系統(tǒng)等安全設(shè)備支持漏洞防御及相關(guān)漏洞的檢測(cè)：

如相關(guān)用戶設(shè)備規(guī)則庫未升級(jí)至最新規(guī)則庫，請(qǐng)及時(shí)升級(jí)設(shè)備規(guī)則庫版本，相關(guān)特征庫已發(fā)布到官網(wǎng)

http://www.jakyje.com/Technical/upgrade.html

2、目前官方已發(fā)布安全版本：1.2.83，海峽信息提醒各相關(guān)單位和用戶要強(qiáng)化風(fēng)險(xiǎn)意識(shí)，切實(shí)加強(qiáng)安全防范：

建議用戶盡快自查，對(duì)受影響的版本及時(shí)升級(jí)至最新版本1.2.83：https://github.com/alibaba/fastjson/releases/tag/1.2.83

3、配置safeMode

Fastjson在 1.2.68 及之后的版本中引入了 safeMode，配置 safeMode 后，無論白名單和黑名單，都不支持 autoType，可杜絕此類反序列化漏洞攻擊（關(guān)閉autoType注意評(píng)估對(duì)業(yè)務(wù)的影響）。因此 1.2.68 及之后版本的用戶若無法通過版本升級(jí)來修復(fù)漏洞，可考慮配置開啟 safeMode，如下提供三種配置SafeMode的方法：

a、在相應(yīng)有引入Fastjson組件的代碼中，配置加入如下代碼：ParserConfig.getGlobalInstance().setSafeMode(true)

b、通過fastjson.properties文件配置，在配置文件中加入如下：fastjson.parser.safeMode=true

c、加上JVM啟動(dòng)參數(shù)：-Dfastjson.parser.safeMode=true

具體配置方法可參考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

附參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233