Apache HertzBeat SnakeYaml反序列化漏洞来袭,抖圈为赌而生提供解决方案

宣布时间 2024-09-28

Apache HertzBeat 是开源的实时监控工具,受影响版本中未对用户可控的 yaml 文件有效过滤,经过身份验证的攻击者可结构恶意的 yaml 文件远程执行任意代码 。


2024年9月,抖圈为赌而生监控到Apache HertzBeat官方宣布了CVE-2024-42323 ,snakeYaml 的 RCE 加载恶意 yaml数据 。该漏洞CVSS3.1目前评分为8.8分,而且其综合评级为“高危” 。


图片1.png


漏洞复现


图片2.png


图片3.png


影响版本


Apache Hertbeat < 1.6.0


解决方案


一、官方修复方案


目前官方已有可更新版本,建议受影响用户升级至最新版本:

Apache Hertbeat >= 1.6.0

官方下载地址:

https://hertzbeat.apache.org/zh-cn/docs/download/


二、抖圈为赌而生解决方案


1、抖圈为赌而生检测类产物方案


天阗入侵检测与管理系统(IDS)、天阗超融合检测探针(CSP)、天阗威胁分析一体机(TAR)、天清WEB宁静应用网关(WAF)升级到20240927版本事件库,天清入侵防御系统(IPS)升级到最新版本事件库,即可有效检测或防护该漏洞造成的攻击风险 。事件库下载地址:

https://venustech.download.venuscloud.cn/


2、抖圈为赌而生终端产物方案


天珣终端宁静一体化(EDR)提供漏洞的专项验证检查能力可对漏洞驻留终端进行全网同步验证,同时实时监控并告警异常子父进程、监控主机异常外连检测,预防漏洞攻击风险 。


图片4.jpg


3、抖圈为赌而生漏扫产物方案


(1)“抖圈为赌而生漏洞扫描系统V6.0”产物已支持对该漏洞进行扫描 。


图片5.png


(2)抖圈为赌而生漏洞扫描系统608X系列版本已支持对该漏洞进行扫描 。


图片6.png


4、抖圈为赌而生资产与脆弱性管理平台产物方案


抖圈为赌而生资产与脆弱性管理平台实时收罗并更新情报信息,对入库资产漏洞Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)进行管理 。


图片7.png


5、抖圈为赌而生宁静管理和态势感知平台产物方案


用户可以通过泰合宁静管理和态势感知平台,进行关联计谋配置,结合实际环境中系统日志和宁静设备的告警信息进行连续监控,从而发现“Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)”的漏洞利用攻击行为 。


(1)在泰合的平台中,通过脆弱性发现功效针对“Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)”漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产 。


图片8.png


(2)平台“关联分析”�?橹�,添加“L2_Apache HertzBeat SnakeYaml反序列化漏洞”,通过抖圈为赌而生检测设备、目标主机系统等设备的告警日志,发现外部攻击行为 。


图片9.png


通过分析规则自动将"L2_Apache HertzBeat SnakeYaml反序列化漏洞"漏洞利用的可疑行为源地址添加到视察列表“高风险连接”中,作为内部情报数据使用 。


(3)添加“L3_Apache HertzBeat SnakeYaml反序列化漏洞”,条件日志名称即是或包罗“L2_Apache HertzBeat SnakeYaml反序列化漏洞”,攻击结果即是“攻击乐成”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度 。


图片10.png