Apache AXIS freemarker组件远程命令执行

Apache AXIS2是一个基于SOAP的一种Web Service框架。2019年06月16日晚，广东省安全中心发布0day漏洞安全预警，Apache AXIS中的freemarker组件中存在远程命令执行攻击。

默安科技的哨兵云资产风险监控系统目前已支持Apache AXIS freemarker组件远程命令执行的检测。

如果您的企业存在相关风险，可以联系我们辅助检测是否受到此类漏洞影响，以免被攻击者恶意利用，造成品牌和经济损失。

漏洞描述

Apache AXIS中的freemarker组件中调用template.utility.Execute类时存在远程命令执行攻击。

攻击者可以发送精心构造的恶意 HTTP POST 请求，获得目标服务器的权限，在未授权的情况下远程执行任意命令，读写文件，get shell,进而威胁内网。目前，该漏洞属于 0day，官方尚未给出任何补丁。

受影响的版本

AXIS 1.4及早期版本

漏洞检测

对于该漏洞，目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测（目前仅哨兵云saas支持），如下图所示。

漏洞修复

配置 URL 访问控制策略（临时处置方法）

部署于公网的AXIS服务器，可通过ACL禁止对/services/FreeMarkerService路径的访问。

参考链接：

https://www.gdcert.com.cn/index/news_detail/W1BZRDEYCh0cDRkcGw