【原创漏洞】Adobe ColdFusion 反序列化RCE漏洞分析（CVE-2019-7091）

宣布时间 2019-02-14

漏洞概述

2019年2月12日，Adobe官方宣布了针对Adobe ColdFusion的宁静更新补丁，编号为APSB19-10。补丁中包罗抖圈为赌而生ADLab发现并第一时间提交给官方的Critical（危急）反序列化漏洞，利用该漏洞攻击者可远程执行任意代码。漏洞编号为CVE-2019-7091，如下图所示：

尊龙抖圈 - 为du而生

本次漏洞为Adobe ColdFusion中FlashGateway服务中的漏洞。Adobe ColdFusion的FlashGateway服务存在反序列化漏洞，未经身份验证的攻击者向目标Adobe ColdFusion的FlashGateway服务发送精心结构的恶意数据，经反序列化后可远程执行任意代码。

漏洞时间轴

2018年9月21日：将漏洞详情提交给官方；
2018年12月5日：确认漏洞存在并开始修复；
2019年2月12日：官方宣布正式补丁。

漏洞分析

Adobe ColdFusion的FlashGateway服务允许flash连接到CFML和CFC模板。当攻击者通过HTTP协议向FlashGateway服务POST精心结构的ActionMessage信息后，FlashGateway服务依次通过种种类型的filter进行invoke()操作。在flashgateway.filter.SerializationFilter的invoke要领中，实例化MessageDeserializer类型的反序列工具deserializer并通过deserializer.readMessage(m)要领对精心结构的ActionMessage消息进行反序列化，同时将ActionMessage中的targetURI、data等值赋值给MessageBody。

完成序列化过程后，此时ActionContext context中的内容即为输入流中精心结构的ActionMessage信息。在flashgateway.filter.AdapterFilter的invoke要领中，读取ActionContext中的MessageBody信息赋值给serviceName、functionName、parameters等，通过adapter=locateAdapter(context, serviceName, functionName, parameters, serviceType)要领得到flashgateway.adapter.java.JavaBeanAdapter类型的adapter，然后执行JavaBeanAdapter的invokeFunction要领。要害代码如下：

public ActionContext invoke(ActionContext context) throws Throwable {
...
//读取MessageBody信息
MessageBody requestMessageBody = context.getRequestMessageBody();
String serviceName = requestMessageBody.serviceName;
String functionName = requestMessageBody.functionName;
List parameters = requestMessageBody.parameters;
...
if (context.isDescribeRequest()) {
result = adapter.describeService(context, serviceName);
} else {
//adapter为JavaBeanAdapter，执行flashgateway.adapter.java.JavaBeanAdapter的invokeFunction要领

result = adapter.invokeFunction(context, serviceName, functionName, parameters); }

在JavaBeanAdapter的invokeFunction要领中，看到要害代码：method.invoke(service, parameters.toArray())。

尊龙抖圈 - 为du而生

其中，目标执行要领method通过Method method = this.getMethod(parameters, serviceName, functionName, aClass)得到；要领执行工具service 通过service = aClass.newInstance()得到；要领执行参数parameters.toArray()通过MessageBody得到。

由此可见，method.invoke(service, parameters.toArray())的所用参数都可控，意味着可执行任意要领。

整个流程如下图所示：

漏洞利用效果

影响版本

ColdFusion 11 Update 15及之前版本
ColdFusion 2016 Update 7及之前版本
ColdFusion 2018 Update 1及之前版本

规避方案

修改gateway-config.xml文件的配置，禁止JavaBeanAdapter的使用。

升级最新补丁APSB19-10：https://helpx.adobe.com/security/products/coldfusion/apsb19-10.html。

尊龙抖圈 - 为du而生

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

【原创漏洞】Adobe ColdFusion 反序列化RCE漏洞分析（CVE-2019-7091）

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线