Hochgradige RCE-Schwachstelle in beliebter Fastjson-Bibliothek gemeldet

  • Cybersecurity-Forscher haben eine kürzlich gepatchte, hochgradig gefährliche Sicherheitslücke in der beliebten Fastjson-Bibliothek bekannt gegeben, die möglicherweise zur Remotecodeausführung ausgenutzt werden kann.

    Das als CVE-2022-25845 (CVSS-Score: 8.1) bezeichnete Problem bezieht sich auf die Deserialisierung nicht vertrauenswürdiger Daten in einer unterstützten Funktion namens „AutoType“. Es wurde von den Projektbetreuern in Version 1.2.83, die am 23. Mai 2022 veröffentlicht wurde, gepatcht.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjs4_qytN4g_voTT8EnYjXf1exVDRaJAFCbNDgniqiJGlOEIxqyqhdyepXuEycqrdL2O8Kr9N1ECYeAOpkm3SjCEZ3v4qkn2U35_5ruG01Jl6vd63zdMh5L62awds2UV50QyzEtSbzrTrWmYwmbBHxi4Tgjz-VueHJyMj-Wq40R--saAZfQBzuZQpWkIw/s1600/Bitbucket-ads.png]

    „Diese Schwachstelle betrifft alle Java-Anwendungen, die auf Fastjson Versionen 1.2.80 oder früher basieren und die benutzergesteuerte Daten an die JSON.parse oder JSON.parseObject APIs übergeben, ohne eine bestimmte Klasse für die Deserialisierung anzugeben“, so Uriya Yavnieli von JFrog in einem Bericht.

    Fastjson ist eine Java-Bibliothek, die verwendet wird, um Java-Objekte in ihre JSON-Darstellung zu konvertieren und umgekehrt. AutoType, die Funktion, die für den Fehler anfällig ist, ist standardmäßig aktiviert und dient dazu, beim Parsen einer JSON-Eingabe einen benutzerdefinierten Typ anzugeben, der dann in ein Objekt der entsprechenden Klasse deserialisiert werden kann.

    „Wenn das deserialisierte JSON jedoch benutzergesteuert ist, kann das Parsen mit aktiviertem AutoType zu einem Sicherheitsproblem bei der Deserialisierung führen, da der Angreifer eine beliebige Klasse instanziieren kann, die auf dem Klassenpfad verfügbar ist, und ihren Konstruktor mit beliebigen Argumenten füttern kann“, erklärte Yavnieli.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Während die Projektverantwortlichen zuvor einen safeMode eingeführt haben, der AutoType deaktiviert, und mit der Pflege einer Blockliste von Klassen begonnen haben, um sich vor Deserialisierungsfehlern zu schützen, umgeht der neu entdeckte Fehler die letztgenannte Einschränkung und führt zu einer Remotecodeausführung.

    Benutzern von Fastjson wird empfohlen, auf Version 1.2.83 zu aktualisieren oder den safeMode zu aktivieren, der die Funktion unabhängig von der verwendeten allowlist und blocklist deaktiviert und damit Varianten des Deserialisierungsangriffs effektiv schließt.

    „Obwohl es einen öffentlichen PoC-Exploit gibt und die potenziellen Auswirkungen sehr hoch sind (Remote-Code-Ausführung), sind die Bedingungen für den Angriff nicht trivial (Übergabe von nicht vertrauenswürdigen Eingaben an bestimmte verwundbare APIs) und – was am wichtigsten ist – es sind zielgerichtete Untersuchungen erforderlich, um eine geeignete Gadget-Klasse für den Angriff zu finden“, so Yavnieli.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com