零日漏洞CVE-2019-0232的复现与动态安全防护 – 作者:riversecurity

2019年4月10日,Apache Tomcat披露了一个漏洞,漏洞编号为CVE-2019-0232,该漏洞存在于启用了enableCmdLineArguments选项的CGI Servlet中,与JRE向Windows传递参数过程中的bug有关。成功利用此漏洞可允许远程攻击者在目标服务器上执行任意命令,从而导致服务器被完全控制。由于Apache Tomcat应用范围广泛,该漏洞一旦被大规模利用,带来后果将不堪设想,各大论坛也发布了相应的安全通告,提醒安全运维人员及时处理该漏洞。

01  影响范围 

Apache Tomcat 9.0.0.M1 to 9.0.17

Apache Tomcat 8.5.0 to 8.5.39

Apache Tomcat 7.0.0 to 7.0.93

02 漏洞复现  

1. 测试环境

    Tomcat 8.5.39

    JDK 8ul21


2. 修改配置文件,启用enableCmdLineArguments 


3. 在Tomcat的webapps/ROOT路径下新建cgi-bin目录,新建目录中写入测试文件hello.bat文件,并启动Tomcat hello.bat文件内容如下:

image.png


4. 访问测试环境,并尝试执行一个远程列出C盘目录的命令,执行成功。

image.png

03 瑞数动态安全防御进行0day防御  

1. 启动瑞数动态安全防御对漏洞网站进行标准保护,这种保护模式下可以防御自动化工具对漏洞批量探测攻击。 

image.png

因为自动化工具,例如burp或者Python编写的探测工具无JS执行能力,无法获取有效的token,会被瑞数动态安全防御的标准保护进行拦截,无法探测漏洞。

image.png

因为传统的WAF根据规则进行攻击特征进行拦截,但是此类探测,特征不明显,容易出现误报,而瑞数动态安全防御进行0day攻击无需依靠规则。

通过日志判断因为不带有效的token都被拦截了,并且通过日志分析,可以看出是Tomcat的0day漏洞探测。

image.png


2. 如果攻击者使用手工测试,可以开启瑞数动态安全防御进行拦截。因为无法获取有效的URLtoken,导致无法进行攻击测试。

image.png

通过日志判断因为不带有效的token都被拦截了,并且通过日志分析,可以看出是Tomcat的0day漏洞探测。

image.png

无论0day何种方式的攻击方法,瑞数动态安全防御都能游刃有余。

04 修复建议

1. 受影响版本的用户应该应用下列其中一项缓解。升级到:

 2. 使用瑞数动态安全防御产品进行安全加固和防御

来源:freebuf.com 2019-05-09 11:23:31 by: riversecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论