（已复现）远程代码执行漏洞；攻击X平台与DeepSeek的为同一僵尸网络

资料列表：https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ

了解下载方式，公众号回复下载

Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器，支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序，广泛用于开发和部署企业级 Web 应用。

2025 年 3 月，Apache 官方发布安全通告，修复了 Tomcat 中的一个远程代码执行（RCE）、信息泄露或信息篡改漏洞（CVE-2025-24813）。该漏洞影响启用了Partial PUT和DefaultServlet写入权限的环境，可能导致攻击者绕过路径校验访问敏感文件或写入特定文件以执行恶意代码。由于该漏洞的利用条件较为苛刻，受影响的用户可根据实际情况评估风险，并决定是否立即修复此漏洞。

漏洞描述

Description

漏洞成因

该漏洞源于 Tomcat DefaultServlet 处理 partial PUT 请求（基于 `Content-Range` 头的 HTTP PUT 请求）时的 临时文件命名逻辑不安全，导致攻击者可以通过构造特殊的请求路径，访问或写入安全敏感文件。

利用条件

满足以下条件，攻击者可以访问或修改安全敏感文件：

1. DefaultServlet 启用了写入权限（默认情况下禁用）。

2. 服务器启用了 partial PUT（默认启用）。

3. 该敏感文件存放在允许上传的目录的子路径（攻击者需要能够在该敏感文件目录上级路径使用 partial PUT 上传文件）

4. 攻击者已知目标敏感文件的路径以及文件名。

5. 敏感文件是通过partial PUT 上传的。

满足以下条件，攻击者可以远程代码执行（RCE）：

1. DefaultServlet 启用了写入权限（默认情况下禁用）。

2. 服务器启用了partial PUT（默认启用）。

3. Tomcat 使用了基于文件的 Session 持久化机制（非默认配置，默认为基于内存持久化），且存储位置为默认路径。

4. 应用程序包含可利用的反序列化漏洞库（如 Commons-Collections 3.x）。

漏洞影响

访问或修改敏感文件：通过获取安全配置文件，获取凭据或密钥。通过修改关键配置文件，影响服务器运行状态。

远程代码执行（RCE）：结合 Tomcat 基于文件的 Session 持久化机制，利用反序列化漏洞执行恶意代码。

处置优先级：中

漏洞类型：逻辑漏洞

漏洞危害等级：高

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：非默认配置，DefaultServlet 需要启用写入权限，远程代码执行需要额外启用基于文件的 Session 持久化配置

用户交互要求：无需用户交互

利用成熟度：POC/EXP未公开

修复复杂度：低，官方提供补丁修复方案

影响版本

Affects

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34
9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98

解决方案

Solution

临时缓解方案

如果暂时无法升级，可以采取以下临时措施降低风险：

禁止partial PUT：在 conf/web.xml 中修改 allowPartialPut 参数为false，并重启 Tomcat 以使配置生效。
严格控制 DefaultServlet 写入权限：确保 readonly=true，禁用所有未经授权的 PUT/DELETE 请求，仅允许可信来源访问受限目录。

升级修复方案

Apache 官方已发布安全通告并发布了修复版本11.0.3、10.1.35、9.0.99，请尽快下载安全版本修复漏洞。

漏洞复现

Reproduction

时间线

Timeline

3月10日互联网公开披露该漏洞

3月11日长亭应急安全实验室复现漏洞

3月11日长亭安全应急响应中心发布通告

参考资料：

[1]. https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

| 攻击X平台与DeepSeek的为同一僵尸网络

3月11日消息，从美国东部时间3月10日早上开始，X平台已经遭遇了三次明显的服务中断。根据故障追踪网站Downdetector的数据，中断报告首次出现在早上6点左右，当时多达20,538名用户反馈了故障。随后，在上午9:30和11:00又出现了两次大规模中断。

许多用户在Downdetector上抱怨X应用程序无法加载内容，部分用户甚至收到了来自云安全服务提供商Cloudflare的错误提示。由于Downdetector的数据基于用户反馈，实际中断规模可能远超报告数据。

马斯克在X平台上发文称，此次中断是由于一场“大规模网络攻击”导致的。他表示，虽然X平台每天都会遭受攻击，但此次攻击动用了大量资源。尽管马斯克没有明确指出攻击的具体类型，但从其描述来看，此次攻击很可能是分布式拒绝服务攻击（DDoS），即通过大量流量淹没服务器，导致平台无法正常运行。

奇安信Xlab实验室第一时间对此次攻击进行了深入分析，并披露了以下关键信息：

第一，本次攻击与春节期间攻击DeepSeek为同一组僵尸网络。

奇安信Xlab实验室监测发现，此次攻击所使用的僵尸网络为Mirai变种僵尸网络RapperBot，与2025年春节期间攻击DeepSeek的属于同一组僵尸网络。RapperBot以高强度的流量攻击闻名，能够迅速瘫痪目标服务器。

第二，攻击时间与X平台宕机时间完全吻合

XLab监控数据显示，此次攻击的时间与X平台服务中断的时间完全吻合，这进一步证实了攻击的直接关联性。

“Downdetector显示的故障时间主要是北京时间3.10号晚上10:00到3.11号凌晨2:00，我们看到的攻击指令也分布在这个时间。”Xlab安全专家表示，结合马斯克对外公开的X遭到网络攻击的时间信息，我们推测该僵尸网络攻击也是导致X故障的原因之一。

第三，僵尸网络提供有偿攻击服务，堪称“职业打手”

RapperBot僵尸网络并非普通黑客组织，而是对外提供有偿攻击服务的“职业打手”。其攻击规模和资源投入远超普通网络攻击，可能涉及大型组织甚至国家层面的支持。

Xlab研究发现，RapperBot僵尸网络常年活跃，攻击目标遍布全球，专业为他人提供DDoS服务，平均每天攻击上百个目标，高峰时期指令上千条。该僵尸网络“接单”频繁，符合典型的“职业打手”特征。

同一天，特斯拉的股价在交易中遭遇重创，盘中一度大幅下跌15%，创下了自2020年9月以来的最大单日跌幅，抹去了自2024年11月以来的全部涨幅。瑞银集团分析师Joseph Spak下调了特斯拉第一季度和全年业绩预期，预计特斯拉本季度只会交付36.7万辆汽车，比之前的预期减少16%。瑞银将特斯拉的目标价下调了24美元，至225美元。

“马斯克收购X后裁员80%，工程师团队规模难以应对复杂攻击。”Xlab实验室方面分析称，自2022年收购Twitter以来，马斯克对X平台进行了广泛的裁员和重大改革，裁掉了80%的员工，并要求剩下的员工全职上班。然而，自收购以来，该平台经历了一系列故障和中断，此次大规模网络攻击更是暴露了其网络安全方面的薄弱环节。

对此，网络安全专家所言：“裁掉一个工程师可能省下20万元年薪，但一次攻击造成的损失可能是这个数字的百万倍”。

| 来源：长亭安全应急响应中心，环球网