近日，国外安全研究人员披露Apache Dubbo多个 预认证 RCE 漏洞详情，攻击者可利用该漏洞在漏洞主机上执行任意命令。

漏洞描述

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。

CVE-2021-25641

攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。
该漏洞CVSS3评分：9.8，危害等级：严重

CVE-2021-30179

Apache Dubbo Generic filter存在过滤不严，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。
该漏洞CVSS3评分：9.8，危害等级：严重

CVE-2021-30180

Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。
该漏洞CVSS3评分：9.8，危害等级：严重

CVE-2021-30181

攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本，造成远程代码执行。
该漏洞CVSS3评分：9.8，危害等级：严重

CVE-2021-32824

Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行。

CVE 编号

CVE-2021-25641
CVE-2021-30179
CVE-2021-30180
CVE-2021-30181
CVE-2021-32824

FOFA 查询

app="APACHE-dubbo"

影响范围

影响版本

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="APACHE-dubbo"）共有 13,376 个相关服务对外开放。中国使用数量最多，共有 11,795 个；美国第二，共有 432 个；新加坡第三，共有 346 个；中国香港第四，共有 292 个；日本第五，共有 113 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区广东使用数量最多，共有 300 个；北京第二，共有 178 个；山东第三，共有 172 个；江苏第四，共有 108 个；上海第五，共有 75 个。

Vulfocus

目前 Vulfocus 已经集成 Apache Dubbo 环境，可通过

docker pull vulfocus/dubbo-cve_2020_1948:latest
docker pull vulfocus/dubbo-cve_2019_17564:latest

进行拉取运行，也可通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

1. 升级 Apache Dubbo 至最新版本。

2. 利用请求白名单的方式限制 Apache Dubbo 相关端口。

参考

[1] https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

[2] https://mp.weixin.qq.com/s/vUdsgOSymEzWeAXkfK3Abw

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。