甲骨文MySQL企业监控是容易受到多次反序列化Java对象的袭击,导致远程代码执行。尽管甲骨文解决其中一个向量(Apache Commons集合InvokerTransformer在WebLogic Server类)(cve - 2015 - 4852),没有咨询或CPU提到MySQL企业监控受影响。除了InvokerTransformer向量,相同类型的攻击可以通过readObject ()调用实现的Apache Commons FileUpload SpringFramework的以及它们的实现。这是第一个产品我们已经看到是容易SpringFramework向量(Chris Frohoff发表ysoserial 2015-01-28,没有CVE),这是乐趣!所有测试执行与一个安装在Windows 7,但是开发可以对Linux非常修改。
利用向量
甲骨文MySQL企业监控提供了一种验证REST API。这个API是一个url[目标]https://: 18443 / v3 /数据流/ 0/0。这个URL接受HTTP POST请求的内容类型”应用程序/八进制”。发布到该URL调用DataflowRouter。类职位()函数(的一部分com.mysql.etools.springboard.rest包中mysql-etools-springboard-3.1.1.7806.jar)。的post ()函数最终导致加载的载荷为一个HTTP POST请求ObjectInputStream和调用readObject ()。
Apache Commons FileUpload剥削
Apache Commons FileUpload包含一个对象DiskFileItem,这通常是无害的。然而,对象被序列化后可以修改行为,没有目的。具体我们可以修改DiskFileItem:
- 创建一个新文件任何Java进程的许可。
- 写任何我们想要的新文件。
- 我们也可以移动(复制和删除)远程系统上的任何文件的许可。
不过有两个局限性:
- 我们不控制文件名。这是由
DiskFileItem类为“upload_ uuid_ counter.tmp美元”。
- 文件是使用创建的
File.createTempFile ()接口。这意味着文件的生命周期是完全依赖于使用deleteOnExit ()JVM运行多长时间,如果是创建后(如果做的是利用它仍将被删除。然而,如果所做的举动InvokerTransformer利用,它将不会被删除)。我们观察,文件似乎最后~ 30秒通过在创建它们DataFlowRouter接口,它是超过时间最邪恶的目的。
Apache Commons集合开发
已经有很多关于使用各种公共集合对象来调用用于cmd . exe。我们不会改变它,而是指向毛地黄安全文章背景。来验证这个漏洞,我们创建了一个序列化的对象,调用shell并创建目录的“奶酪”C:\Users\Public。由于CVE抽象为Apache Commons per-vendor基础上被跟踪的问题,这个向量将属于CVE - 2015 - 4852,并以某种方式只有第二个Oracle产品发现脆弱。尽管如此,Oracle发布了一个新的CVE这个特定的产品受影响。
SpringFramework剥削
虽然克里斯Frohoff发布获得的证据通过SpringFramework shell访问对象反序列化早在2015年初,这种技术还没有获得下议院集合技术的耻辱。这主要是由于这一事实相当需要新版本的spring核心和spring bean (4.1.4.RELEASE),许多产品不使用。不幸的是,MySQL企业监控这些库的类路径。
甲骨文分类作为开发的高访问的复杂性,可能是因为它依赖图书馆存在相关的不同因素。然而,而香草产品的安装允许微不足道的剥削和只需要凭证。因此,我们分类复杂性低的访问。
Apache和供应商,指责
我们把这类问题Apache的注意,他们不认为这是一个漏洞。他们对我们的反应,他们说:
”回顾你的报告,我们得出结论,它不代表一个有效的在Apache Commons文件上传漏洞。如果应用程序反序列化的数据从一个不可信的来源没有过滤和/或验证应用程序漏洞不是漏洞在图书馆潜在的攻击者可能会利用。”
站得住脚的认为,如果一个应用程序打算反序列化DiskFileItems然后他们仍然容易受到改变对象,他们可以在任何地方文件写服务器,这似乎跨特权边界由图书馆基于代码。
基于我们的研究,没有警告不相信这个对象包含在他们的图书馆,或提及潜在的问题。似乎有几行代码,以防止意外的方面(文件写入任意位置),同时仍然保持图书馆的功能。在这样做,它将增加一层保护的公司实现图书馆(许多,我们发现脆弱)。
又一个Apache人提到“java.io.File也可序列化的。我认为管理一个入侵者DiskFileItem创建和getInputStream ()调用,也可以创建一个文件(或字符串),并调用新的文件(输入|输出)流吗?“我们提醒他们,反序列化的行为DiskFileItem会导致任意文件被写入到磁盘。攻击者不需要调用一个新的outputstream因为DiskFileItem的readObject ()功能已经为他做过。这不是就我们所知道的最好的预期行为。这也不像反序列化Java.io.File。说,我们尊重Apache的立场,并联系供应商,实现共享类库的方式使他们的软件脆弱。