热门Java 框架Quarkus中存在严重的RCE漏洞

Quarkus 发布于2019年，是一款开源的 Kubernetes 原生Java 框架，专为 GraalVM 和 HotSpot 虚拟机而设计。该漏洞位于 Dev UI Config 编辑器中，可通过路过式下载本地主机攻击利用。

Beeton 表示，“该漏洞并不难利用，恶意人员无需任何权限即可利用。”由于和本地主机绑定的服务可从外部访问，因此攻击者可创建恶意网站，专门攻击使用易受攻击 Quarkus 版本实例的开发人员。他提到，“如运行 Quarkus 的开发人员本地访问了具有恶意JavaScript 的网站，则该JavaScript 可在开发者机器上悄悄执行代码。”

问题在于，JavaScript 代码可在无需预检的情况下向本地主题发起请求。这些“简单请求”不会像所调用的JavaScript 返回数据，但所需响应时间可用于判断该请求是否成功。Beeton 解释称，“通过这些限制条件，攻击者很有可能访问本地主机，并在一定条件下可触发任意代码执行。”

Beeton 已发布PoC 代码，启动目标机器上的计算器应用，不过他提醒称恶意利用该漏洞可造成更广泛的影响，具体取决于开发人员在密钥、服务器和其它资源上的访问权限，如可在本地机器上安装键击记录器捕获生产系统的登录信息或者使用GitHub 令牌修改源代码等。

Beeton 还指出，攻击者可能针对使用 Quarkus 的开发人员发起鱼叉式钓鱼攻击，诱骗他们点击导致可利用该漏洞的 JavaScript的链接。

本周，Quarkus 表示该漏洞的补丁已包含在 2.14.2.Final 和2.13.5.Final 版本中，提醒称恶意攻击者可利用该漏洞获得对开发工具的本地访问权限，督促开发人员尽快修复。

Red Hat 在一份安全公告中指出，其自建 Quarkus 也受影响，但并未透露何时发布补丁。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。