【漏洞预警】Apache Axis远程代码执行0day漏洞处置手册

预警编号:NS-2019-0022

2019-06-17

1

漏洞概述

近日，绿盟科技安全团队通过全流量威胁分析平台（TAM）发现APACHE AXIS 远程命令执行漏洞，攻击者可通过发送精心构造的恶意 HTTP-POST 请求，获得目标服务器权限，在未授权情况下远程执行命令。

Apache Axis 是一款开源、基于XML的Web服务框架。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API来生成部署Web服务应用。用Apache Axis开发者能够创造可互操作的，分布式的计算应用。

SEE MORE →

2影响范围

受影响版本

• Apache Axis <= 1.4

3漏洞排查

3.1 人工排查

使用Axis的用户，可到网站目录下找到server-config.wsdd文件，用文本编辑器打开，如果其中enableRemoteAdmin的值为true，则存在风险。

4漏洞防护

4.1 产品防护

针对此漏洞，绿盟科技防护产品已发布规则升级包，强烈建议相关用户升级至最新规则，形成安全产品防护能力。安全防护产品规则版本号如下：

规则升级的操作步骤详见如下链接：

IPS：https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

WAF：https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

4.2 临时防护方案

官方暂未发布针对此漏洞的修复补丁，在官方修复之前，可以采取以下方式进行临时防护。

4.2.1 删除Axis

如果当前系统不需要使用Axis的功能，可在lib目录下找到axis.jar文件，将其删除。在执行删除操作前请对文件做好备份，防止因删除文件导致的业务中断。

4.2.2 禁用Axis远程管理

到网站目录下找到server-config.wsdd文件，用文本编辑器打开，找到enableRemoteAdmin配置项，将值设置为false。

4.2.3 WAF自定义防护规则

部署有绿盟科技WEB应用防护系统的用户可通过配置自定义规则的方式，对此漏洞形成临时防护，操作步骤如下：

1、点击安全管理->规则库管理->自定义->新建。

2、如下图所示进行配置：

• 检测对象选择URI
• 匹配操作选择正则包含
• 检测值填写：/services/(AdminService|FreeMarkerService)

3、若存在虚拟站点，需要确认虚拟站点应用自定义规则。

验证效果：

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。