Apache Dubbo反序列化漏洞CVE-2023-23638

漏洞名称：

Apache Dubbo 反序列化漏洞 (CVE-2023-23638)

组件名称：

Apache Dubbo

影响范围：

2.7.0≤Dubbo≤2.7.22,

3.0.0≤Dubbo≤3.0.14,

3.1.0≤Dubbo≤3.1.6

漏洞类型：

反序列化

利用条件：

1、用户认证：未知

2、前置条件：未知

3、触发方式：远程

综合评价：

<综合评定利用难度>：未知

<综合评定威胁等级>：高危，能造成远程代码执行。

官方解决方案：

已发布

漏洞分析

组件介绍

Apache Dubbo 是基于 Java 的高性能开源 RPC 框架。其前身是阿里巴巴公司开源的、轻量级的开源 Java RPC 框架，可以和 Spring 框架无缝集成。

漏洞简介

2023 年 3 月 10 日，深信服安全团队监测到一则 Apache Dubbo 组件存在反序列化漏洞的信息，漏洞编号：CVE-2023-23638，漏洞威胁等级：高危。

该漏洞是由于由于 Dubbo 在序列化时检查不够全面，攻击者可利用该漏洞，构造恶意数据执行反序列化攻击，最终绕过检查触发反序列化，执行任意代码。

影响范围

Apache Dubbo 广泛应用于各类Java服务，是较为流行的 Java RPC 框架。可能受漏洞影响的资产广泛分布于世界各地。

目前受影响的 Apache Dubbo 版本：

2.7.0≤Dubbo≤2.7.22,

3.0.0≤Dubbo≤3.0.14,

3.1.0≤Dubbo≤3.1.6

解决方案

如何检测组件版本

搭建 Apache Dubbo 本地 Maven 管理环境，查询配置文件 pom.xml

Revision 字段，该字段为 Apache Dubbo 对应版本号：

官方修复建议

当前 Apache Dubbo 官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/apache/dubbo/releases

深信服解决方案

1.风险资产发现

支持对 Apache Dubbo 反序列化漏洞的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服主机安全检测响应平台CWPP】预计 2023年3 月13 日发布资产检测方案。

2.漏洞主动检测

支持对 Apache Dubbo 反序列化漏洞的主动检测，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服主机安全检测响应平台CWPP】预计 2023 年 3 月 13 日发布检测方案。

【深信服安全托管服务MSS】预计 2023 年 3 月 13 日发布检测方案。

【深信服安全检测与响应平台XDR】预计 2023 年 3 月 13 日发布检测方案。

参考链接

https://cn.dubbo.apache.org/zh-cn/

时间轴

2023/3/10

深信服监测到 Apache Dubbo 反序列化漏洞攻击信息。

2023/3/10

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。