漏洞描述
7月6日,Apache官方发布安全公告,修复了一个存在于Apache Commons Configuration 组件的远程代码执行漏洞,漏洞编号:CVE-2022-33980,漏洞威胁等级:高危。恶意攻击者通过该漏洞,可在目标服务器上实现任意代码执行。
相关介绍
Apache Commons Configuration是一个Java应用程序的配置管理工具,可以从properties或者xml文件中加载软件的配置信息,用来构建支撑软件运行的基础环境。在一些配置文件较多较复杂的情况下,使用该配置工具比较可以简化配置文件的解析和管理,提高开发效率和软件的可维护性。
利用范围
2.4 <= Apache Commons Configuration <=2.7
漏洞分析
前置知识
什么是变量插值?
通常我们用apache的configuration2库来管理配置文件(org.apache.commons:commons-configuration2),在commons-configuration2管理的配置文件中,配置变量的值可以引用变量。举个例子:${env:xxhzz}就指代环境变量xxhzz,在commons-configuration2中这种引用动态变量的方式就叫变量插值。
变量插值解析:在commons-configuration2中,负责对字符串中的变量进行解析的是org.apache.commons.configuration2.interpol.ConfigurationInterpolator类中的interpolate(Object)方法。
漏洞原理
从漏洞通告中,可以得知Apache Commons Configuration执行变量插值,允许动态评估和扩展属性。插值的标准格式是“${prefix:name}”,其中“prefix”用于定位执行插值的org.apache.commons.configuration2.interpol.Lookup 实例。
了解了漏洞原理后,为更好理解漏洞的形成,需构建一个调试的demo环境。
通过maven直接引入Apache Commons Configuration2.7。
<dependency><groupId>org.apache.commons</groupId><artifactId>commons-configuration2</artifactId><version>2.7</version></dependency>
接着构建一个触发漏洞的主类即可
动态调式
在对插值变量进行解析的地方打下断点。
开启debug模式,在经过了前两个if判断之后,随后会进入resolveSingleVariable函数。
org.apache.commons.configuration2.interpol.ConfigurationInterpolator#extractVariableName的作用是提取变量字符串strValue。
随后进入org.apache.commons.configuration2.interpol.ConfigurationInterpolator#resolve函数中
通过index0f查找和判断条件,从变量字符串中分别获取到prefix和name。
在分析lookup函数前先跟进下fetchLookupForPrefix函数。
接着会通过getEngineByName函数获取ScriptEngine(javax.script)。
漏洞复现
修复建议
目前官方已发布修复版本修复了该漏洞,请受影响的用户升级到 Apache Commons Configuration 2.8.0 版本。
参考材料
2.https://cloud.tencent.com/developer/article/1650833
关于Portal Lab
星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为API 安全、应用安全、攻防对抗等领域。实验室成员研究成果曾发表于BlackHat、HITB、BlueHat、KCon、XCon等国内外知名安全会议,并多次发布开源安全工具。未来,Portal Lab将继续以开放创新的态度积极投入各类安全技术研究,持续为安全社区及企业级客户提供高质量技术输出。
原文始发于微信公众号(星阑PortalLab):【技术干货】CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞分析
