【漏洞预警】Apache Axis远程代码执行漏洞处置手册

预警编号:NS-2019-0022-1

2019-07-09

1

漏洞概述

近日，绿盟科技安全团队通过全流量威胁分析平台（TAM）发现Apache Axis远程命令执行漏洞，攻击者可通过发送精心构造的恶意 HTTP-POST 请求，获得目标服务器权限，在未授权情况下远程执行命令。

Apache Axis 是一款开源、基于XML的Web服务框架。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API来生成部署Web服务应用。用Apache Axis开发者能够创造可互操作的，分布式的计算应用。

SEE MORE →

2影响范围

受影响版本

• Apache Axis <= 1.4

3漏洞排查

3.1 人工排查

使用Axis的用户，可到网站目录下找到server-config.wsdd文件，用文本编辑器打开，如果其中enableRemoteAdmin的值为true，则存在风险。

4漏洞防护

4.1 产品防护

针对此漏洞，绿盟科技防护产品已发布规则升级包，强烈建议相关用户升级至最新规则，形成安全产品防护能力。安全防护产品规则版本号如下：

规则升级的操作步骤详见如下链接：

IPS：https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

WAF：https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

4.2 临时防护方案

官方暂未发布针对此漏洞的修复补丁，在官方修复之前，可以采取以下方式进行临时防护。

4.2.1 删除Axis

如果当前系统不需要使用Axis的功能，可在lib目录下找到axis.jar文件，将其删除。在执行删除操作前请对文件做好备份，防止因删除文件导致的业务中断。

4.2.2 禁用Axis远程管理

到网站目录下找到server-config.wsdd文件，用文本编辑器打开，找到enableRemoteAdmin配置项，将值设置为false。

5漏洞复现

首先创建一个名为Hack的Service：

查看已经成功创建了名为Hack的服务：

利用刚刚创建的service执行命令：

命令执行成功：

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。