- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2021/12/16
Ajax.NET Professional (AjaxPro)是最先把AJAX技术应用在微软.NET环境下框架之一,具有部署简单、使用方便、运行高效等特点; 该框架能够创建一个代理类且可以使客户端的JS代码实现调用服务端的方法,并能返回各种在.NET里使用的类型;使用该框架和直接使用.NET基本无差别。近日,新华三攻防实验室威胁预警团队监测到网上爆发了AjaxPro.NET反序列化漏洞 (CVE-2021-23758),成功利用此漏洞可以在受害主机上执行任意代码,本团队对该漏洞进行了复现和分析。
该漏洞是由于AjaxPro开源组件.NET Class Handler存在对输入数据限制检查不严格引起的;该AjaxPro框架在JavaScriptDeserializer.DeserializeFromJson函数反序列化过程中,如果通过`__type`获取的`Type`对象且可对其`Type`对象修改,攻击者可利用该漏洞在目标主机上执行任意代码。
构造恶意的反序列化数据,实现命令执行:
package AjaxPro.2 < v21.12.8.1
高危 CVSS 7.8
目前官方已发布最新版本,请受影响用户尽快更新。
https://github.com/michaelschwarz/Ajax.NETProfessional/releases/tag/v21.12.8.1
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.161版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
https://vuldb.com/zh/?id.187524
https://www.cve.org/CVERecord?id=CVE-2021-23758
产品与解决方案
