Fastjson远程代码执行漏洞安全预警与建议

近日，海峡信息安全威胁情报中心监测到阿里巴巴公司开源Java开发组件Fastjson存在远程代码执行漏洞。攻击者利用上述漏洞可远程执行任意代码。目前官方已发布安全版本，海峡信息安全应急中心建议受影响单位和用户立即升级至安全版本。

一、漏洞描述

Fastjson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库。它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。相关Fastjson版本存在远程代码执行漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制，从而反序列化有关安全风险的类。在特定条件下可能导致远程代码执行。

二、影响范围

受影响的产品及版本：

特定依赖存在下影响 Fastjson ≤1.2.80

三、安全防范建议

海峡信息提醒各相关单位和用户要强化风险意识，切实加强安全防范：

1、目前黑盾Web应用防火墙、黑盾入侵检测系统、黑盾入侵防御系统等安全设备支持漏洞防御及相关漏洞的检测：

如相关用户设备规则库未升级至最新规则库，请及时升级设备规则库版本，相关特征库已发布到官网

http://www.si.net.cn/Technical/upgrade.html

2、目前官方已发布安全版本：1.2.83，海峡信息提醒各相关单位和用户要强化风险意识，切实加强安全防范：

建议用户尽快自查，对受影响的版本及时升级至最新版本1.2.83：https://github.com/alibaba/fastjson/releases/tag/1.2.83

3、配置safeMode

Fastjson在 1.2.68 及之后的版本中引入了 safeMode，配置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝此类反序列化漏洞攻击（关闭autoType注意评估对业务的影响）。因此 1.2.68 及之后版本的用户若无法通过版本升级来修复漏洞，可考虑配置开启 safeMode，如下提供三种配置SafeMode的方法：

a、在相应有引入Fastjson组件的代码中，配置加入如下代码：ParserConfig.getGlobalInstance().setSafeMode(true)

b、通过fastjson.properties文件配置，在配置文件中加入如下：fastjson.parser.safeMode=true

c、加上JVM启动参数：-Dfastjson.parser.safeMode=true

具体配置方法可参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

附参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233