关于Apache AXIS 远程命令执行0day漏洞安全预警通告

作者:???深圳市网安计算机安全检测技术有限公司 2019/06/16 22:49:10 1722次阅读 国际

漏洞描述:

? ? ? ?近日,应急响应平台收到情报,发现Apache AXIS 远程命令执行漏洞。攻击者可以发送精心构造的恶意 HTTP-POST 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。目前,该漏洞属于 0day,官方尚未给出任何补丁。

危害级别:【高危】

漏洞触发条件:

? ? ? ?1. ApacheAXIS<=1.4, AXIS 允许远程管理,使用 Freemarker 插件的情况下存在漏洞;
? ? ? 2. AXIS1.4+Tomcat8.5+JDK8 环境下复现成功;


排查方案:

? ? ? ?通过查看中间件日志或者流量分析设备日志,确认是否有访问/services/AdminService、
/services/FreeMarkerService 的记录。

修复建议:

? ? ? ?1. 配置 URL 访问控制策略:部署于公网的 AXIS 服务器,可通过 ACL 禁止对/services/AdminService 及 /services/FreeMarkerService 路径的访问。
? ? ? ?2. 禁用 AXIS 远程管理功能:AXIS<=1.4 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 AXIS 目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其中"enableRemoteAdmin"的值设置为 false。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室