Apache HertzBeat SnakeYaml反序列化误差来袭,,,,bevictor伟德提供解决计划

宣布时间 2024-09-28

Apache HertzBeat 是开源的实时监控工具,,,,受影响版本中未对用户可控的 yaml 文件有用过滤,,,,经由身份验证的攻击者可结构恶意的 yaml 文件远程执行恣意代码。。。


2024年9月,,,,bevictor伟德监控到Apache HertzBeat官方宣布了CVE-2024-42323 ,,,,snakeYaml 的 RCE 加载恶意 yaml数据。。。该误差CVSS3.1现在评分为8.8分,,,,并且其综合评级为“高危”。。。


图片1.png


误差复现


图片2.png


图片3.png


影响版本


Apache Hertbeat < 1.6.0


解决计划


一、官方修复计划


现在官方已有可更新版本,,,,建议受影响用户升级至最新版本:

Apache Hertbeat >= 1.6.0

官方下载地点:

https://hertzbeat.apache.org/zh-cn/docs/download/


二、bevictor伟德解决计划


1、bevictor伟德检测类产品计划


天阗入侵检测与治理系统(IDS)、天阗超融合检测探针(CSP)、天阗威胁剖析一体机(TAR)、天清WEB清静应用网关(WAF)升级到20240927版本事务库,,,,天清入侵防御系统(IPS)升级到最新版本事务库,,,,即可有用检测或防护该误差造成的攻击危害。。。事务库下载地点:

https://venustech.download.venuscloud.cn/


2、bevictor伟德终端产品计划


天珣终端清静一体化(EDR)提供误差的专项验证检查能力可对误差驻留终端举行全网同步验证,,,,同时实时监控并告警异常子父历程、监控主机异常外连检测,,,,预防误差攻击危害。。。


图片4.jpg


3、bevictor伟德漏扫产品计划


(1)“bevictor伟德误差扫描系统V6.0”产品已支持对该误差举行扫描。。。


图片5.png


(2)bevictor伟德误差扫描系统608X系列版本已支持对该误差举行扫描。。。


图片6.png


4、bevictor伟德资产与懦弱性治理平台产品计划


bevictor伟德资产与懦弱性治理平台实时收罗并更新情报信息,,,,对入库资产误差Apache HertzBeat SnakeYaml反序列化误差(CVE-2024-42323)举行治理。。。


图片7.png


5、bevictor伟德清静治理和态势感知平台产品计划


用户可以通过泰合清静治理和态势感知平台,,,,举行关联战略设置,,,,连系现真相形中系统日志和清静装备的告警信息举行一连监控,,,,从而发明“Apache HertzBeat SnakeYaml反序列化误差(CVE-2024-42323)”的误差使用攻击行为。。。


(1)在泰合的平台中,,,,通过懦弱性发明功效针对“Apache HertzBeat SnakeYaml反序列化误差(CVE-2024-42323)”误差扫描使命,,,,排查治理网络中受此误差影响的主要资产。。。


图片8.png


(2)平台“关联剖析”�????橹�,,,,添加“L2_Apache HertzBeat SnakeYaml反序列化误差”,,,,通过bevictor伟德检测装备、目的主机系统等装备的告警日志,,,,发明外部攻击行为。。。


图片9.png


通太过析规则自动将"L2_Apache HertzBeat SnakeYaml反序列化误差"误差使用的可疑行为源地点添加到视察列表“高危害毗连”中,,,,作为内部情报数据使用。。。


(3)添加“L3_Apache HertzBeat SnakeYaml反序列化误差”,,,,条件日志名称即是或包括“L2_Apache HertzBeat SnakeYaml反序列化误差”,,,,攻击效果即是“攻击乐成”,,,,目的地点引用资产误差或源地点匹配威胁情报,,,,从而提升关联规则的置信度。。。


图片10.png