侦察错误
福克斯主教的安全研究人员已经开发了一种工具,可以将漏洞扎根爪哇远程方法调用(RMI),一种在Java服务器应用程序上执行远程过程调用的API,并允许客户端应用程序在远程Java虚拟机(JVM)上调用服务。
命名rmiscout,该工具对裸露的Java RMI接口执行WordList和Brute-Force攻击,以安全地列举可引用的方法并发现方法参数中的必然漏洞。
RMI漏洞
“ Java RMI是一种基于绝望的Java序列化对象的旧设计,具有我们在现代背景下更好地理解的风险,” Bishop Fox的安全研究人员兼RMISCOUT的开发人员Jake Miller告诉每日swbeplay2018官网ig。
“由于这种设计,与GRPC这样的新技术相反,使用Java RMI安全实施服务需要更多的安全考虑。”
如今,在参数对象的解析机制中使用缺陷的情况攻击,传递给函数的分析机制,以将恶意有效载荷发送到Java应用程序 - 是众所周知且有据可查的威胁。
但是在Java的早期,当RMI引入时,关于挑选的知识知之甚少漏洞,该协议没有防止威胁的保障。
有关的GadgetProbe:新工具简化了Java避难所的漏洞
“现在,15 - 20年后,更改协议将使向后兼容。因此,建立了用户配置的范围范围的避免过滤器,成为最佳解决方案。”米勒说。
但是,开发人员经常忽略为其应用程序实施过滤器。
此外,许多Java RMI服务没有身份验证,会话管理,安全防火墙规则或过程范围的避难过滤器。除了对协议的绝对化攻击外,这种做法还导致了方法本身的攻击表面。
米勒说:“尽管RMI注册机构一旦知道足以调用它的方法的签名,就无法执行可用功能的列表。”
rmiscout
要执行远程方法,Java RMI客户端提交了方法签名的64位哈希,服务器使用该签名来识别相应的服务器端方法。
为了创建RMISCOUT,Miller分析了超过15,000种方法的标志开源Github的项目。他将这些模式组装成一个单词列表,RMISCOUT用于探测RMI服务器的可用方法。
RMISCOUT使用一种特殊的技术来验证远程方法的存在而无需调用它们。
除了发现蛮力方法签名之外,RMISCOUT可以与其他工具(例如GadgetProbe对缺乏流程范围的序列化过滤器或使它们配置不正确的服务进行挑战攻击。
阅读更多最新的网络黑客beplay体育能用吗工具 - Q1 2020
“以前,猜测签名方法的最佳解决方案或执行避免beplay维护得多久攻击的签名是:a)获取软件的副本,或b)编写自定义代码或使用尴尬的调试线束来尝试猜测签名,”米勒说。
RMISCOUT加快了这一过程,并受到安全界的好评。
米勒说,他将在未来几个月继续扩大RMISCOUT的单词列表,并期待社区的贡献。
同时,他强调,保护您的Java应用程序免受远程代码执行是利用新的,更安全的技术。
米勒说:“如果您能打算从Java RMI迁移,那是最好的解决方案。但是,如果您坚持下去:使用防火墙规则锁定服务,使用经过身份验证的SSLRMisocketFactory,并实施整个过程范围的供应过滤器。”
