报告编号：B6-2020-030202

报告来源：360-CERT

报告作者：360-CERT

更新日期：2020-03-02

0x01 漏洞背景

2020年3月2日， 360CERT监测到jackson-databind为两例新的反序列化利用链申请了漏洞编号CVE-2020-9547和CVE-2020-9548

jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。

该漏洞影响jackson-databind对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码执行，攻击成功可获得服务器的控制权限（Web服务等级），该漏洞同时影响开启了autotype选项的fastjson

0x02 风险等级

360CERT对该漏洞进行评定

360CERT建议广大用户及时更新jackson-databind/fastjson版本。做好资产 自查/自检/预防 工作，以免遭受攻击。

0x03 影响版本

jackson-databind < 2.10.0

0x04 修复建议

1. 更新jackson-databind到最新版本: https://github.com/FasterXML/jackson

同时 360CERT 强烈建议排查项目中是否使用Anteros-Core和ibatis-sqlmap。该次漏洞的核心原因是 Anteros-Core和ibatis-sqlmap中存在特殊的利用链允许用户触发 JNDI 远程类加载操作。将 Anteros-Core和ibatis-sqlmap移除可以缓解漏洞所带来的影响。

0x05 漏洞证明

• CVE-2020-9547：

• CVE-2020-9548：

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类 漏洞/事件 进行监测，请用户联系相关产品区域负责人获取对应产品。

360AISA全流量威胁分析系统

360AISA基于360海量安全大数据和实战经验训练的模型，进行全流量威胁检测，实现实时精准攻击告警，还原攻击链。

目前产品具备该漏洞/攻击的实时检测能力。

0x07 时间线

2020-03-02 360-CERT 检测到jackson-databind发布版本更新

2020-03-02 360-CERT 发布预警通告

0x08 参考链接

1. https://github.com/FasterXML/jackson-databind/issues/2634