2019年4月10日,Apache Tomcat披露了一个漏洞,漏洞编号为CVE-2019-0232,该漏洞存在于启用了enableCmdLineArguments选项的CGI Servlet中,与JRE向Windows传递参数过程中的bug有关。成功利用此漏洞可允许远程攻击者在目标服务器上执行任意命令,从而导致服务器被完全控制。由于Apache Tomcat应用范围广泛,该漏洞一旦被大规模利用,带来后果将不堪设想,各大论坛也发布了相应的安全通告,提醒安全运维人员及时处理该漏洞。
01 影响范围
Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39
Apache Tomcat 7.0.0 to 7.0.93
02 漏洞复现
1. 测试环境
Tomcat 8.5.39
JDK 8ul21
2. 修改配置文件,启用enableCmdLineArguments
3. 在Tomcat的webapps/ROOT路径下新建cgi-bin目录,新建目录中写入测试文件hello.bat文件,并启动Tomcat hello.bat文件内容如下:
4. 访问测试环境,并尝试执行一个远程列出C盘目录的命令,执行成功。
03 瑞数动态安全防御进行0day防御
1. 启动瑞数动态安全防御对漏洞网站进行标准保护,这种保护模式下可以防御自动化工具对漏洞批量探测攻击。
因为自动化工具,例如burp或者Python编写的探测工具无JS执行能力,无法获取有效的token,会被瑞数动态安全防御的标准保护进行拦截,无法探测漏洞。
因为传统的WAF根据规则进行攻击特征进行拦截,但是此类探测,特征不明显,容易出现误报,而瑞数动态安全防御进行0day攻击无需依靠规则。
通过日志判断因为不带有效的token都被拦截了,并且通过日志分析,可以看出是Tomcat的0day漏洞探测。
2. 如果攻击者使用手工测试,可以开启瑞数动态安全防御进行拦截。因为无法获取有效的URLtoken,导致无法进行攻击测试。
通过日志判断因为不带有效的token都被拦截了,并且通过日志分析,可以看出是Tomcat的0day漏洞探测。
无论0day何种方式的攻击方法,瑞数动态安全防御都能游刃有余。
04 修复建议
1. 受影响版本的用户应该应用下列其中一项缓解。升级到:
2. 使用瑞数动态安全防御产品进行安全加固和防御
来源:freebuf.com 2019-05-09 11:23:31 by: riversecurity
请登录后发表评论
注册