Apache axis 远程命令执行漏洞预警

作者:???深信服科技股份有限公司广州办事处 2019/07/08 09:04:36 122次阅读 国际

一、漏洞预警
近日,深信服发现Apache axis 组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误,当enableRemoteAdmin属性设置为true时,攻击者可以远程利用AdminService接口自行发布构造的WebService,再次访问生成的WebService接口时,就可以触发内部引用的类进行远程命令执行漏洞的利用。
深信服安全团队第一时间响应并发布预警信息,并将持续跟踪事态进展。
深信服安全团队风险评级:高危

二、漏洞概要

漏洞名称 Apache axis 远程命令执行漏洞
时间轴 2019/7/5
深信服千里目安全实验室分析并复现该漏洞,发布漏洞预警以及解决方案
威胁等级 高危
影响范围 Apache axis? 1.4及以前的版本
漏洞类型 远程命令执行
利用难度 困难


三、漏洞分析
3.1 axis 组件介绍
axis 全称Apache EXtensible Interaction System 即Apache可扩展交互系统。axis 为创建服务器端、客户端和网关SOAP等操作提供基本框架。axis 目前版本主要面向Java,面向C++的版本正在开发中。axis 并不完全是一个SOAP引擎,还可以作为一个独立的SOAP服务器和一个嵌入Servlet引擎(例如Tomcat)的服务器。
3.2漏洞分析
漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。

3.3漏洞复现
搭建axis 1.4+tomcat6的环境,将AdminService配置中的enableRemoteAdmin属性设置为true。
传入构造好的数据进行WebService发布,如下图:
5205ce6d16f56d93661e9c0829645df9.png
再调用WebService接口传入命令并执行,如下图:

9b73c9267637b250549fc4bdebcb1eec.png


四、解决方案
4.1修复建议
1. 配置 URL 访问控制策略:部署于公网的 axis 服务器,可通过 ACL 禁止对/services/AdminService 及 /services/FreeMarkerService 路径的访问。
2. 禁用 axis 远程管理功能:axis <=1.4 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 axis 目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其中"enableRemoteAdmin"的值设置为 false。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室