Apache Shiro历史高危反序列化漏洞预警 （shiro-550、shiro-721）

2021-06-16

一、概要

      近期，华为云安全运营中心监测到多起外部攻击者利用Apache Shiro历史反序列化高危漏洞（shiro-550、shiro-721）进行攻击入侵的事件，并且可能有上升趋势。经分析，均是由于shiro组件中不安全的AES加密密钥被爆破，进而利用反序列化漏洞（shiro-550、shiro-721）入侵。

      从版本维度：

      Shiro <= 1.2.4 ：存在shiro-550反序列化漏洞；

      1.2.5 <= Shiro  < 1.4.2 ：存在shiro-721反序列化漏洞；

      Shiro > = 1.4.2 ：如果用户使用弱密钥（互联网已公开/已泄露），即使升级至最新版本，仍然存在反序列化漏洞入口。

      shiro-550、shiro-721均是Apache在2016年披露出来的历史高危漏洞。目前互联网早已出现较为成熟的漏洞检测和利用工具，华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。

      参考链接：

      https://issues.apache.org/jira/browse/SHIRO-550

      https://issues.apache.org/jira/browse/SHIRO-721

二、威胁级别

      威胁级别：【严重】

    （说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

      影响版本：

      shiro-550 ：Shiro < = 1.2.4

      shiro-721：1.2.5 <= Shiro  < 1.4.2

    （注：shiro >= 1.4.2 ，如果密钥泄露，攻击者可利用shiro反序列化入口进行攻击）

四、漏洞处置

      受影响的shiro用户请参考如下几点进行排查和加固：

      1、更换shiro组件中的AES密钥，不要使用网上已公开的密钥，使用shiro官方提供的方法随机生成自己的密钥，并妥善保管好该密钥；

      官方密钥生成方法：org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

      2、对外提供服务的和能够被远程访问的进程，如Web服务，不应使用“root”或属于root用户组中的用户；

      3、及时更新补丁或升级系统，使用最新最稳定的安全版本。当前Apache-shiro最新版本为1.7.1；

      下载地址：https://shiro.apache.org/

      4、做好网络访问控制，管理好主机的访问公网能力以及对公网开放的端口，做好精细化访问控制。

      注：修复漏洞前请将资料备份，并进行充分测试。