正文

Apache Tomcat远程命令执行漏洞来袭,网御星云提供优选解决方案

admin
admin V管理员 /0 评论 /11 阅读
0316
文章最后更新时间2025年03月16日,若文章内容或图片失效,请留言反馈!

Apache Tomcat是一个开源的Java Servlet容器,广泛用于运行Java Web应用程序。它实现了Java Servlet和JavaServer Pages (JSP) 技术,提供运行环境来处理HTTP请求、生成动态网页,并支持WebSocket通信。Tomcat以其稳定性、灵活性和易用性受到开发者青睐,是开发和部署Java Web应用的重要工具之一。

2025 年 3 月,网御星云监测到 Apache 官方发布安全漏洞通告(CVE-2025-24813),该漏洞影响启用了 Partial PUT 功能及 DefaultServlet 写入权限的 Web 应用环境。攻击者可利用漏洞构造恶意请求,绕过路径校验机制,实现敏感文件访问或植入恶意代码,最终导致远程代码执行。

漏洞复现截图

检测方法

进入Tomcat安装目录的bin目录,运行version.bat(Linux运行version.sh)后,可查看当前软件版本号。

影响版本

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34

9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98

临时修复建议

1. 禁止partial PUT:在 conf/web.xml 中修改 allowPartialPut 参数为false,重启 Tomcat 以使配置生效。

2. 严格控制 DefaultServlet 写入权限:确保 readonly=true,禁用所有未经授权的 PUT/DELETE 请求,仅允许可信来源访问受限目录。

一、官方修复方案

目前官方已发布安全更新,建议用户尽快升级至最新版本 

Apache Tomcat >=11.0.3

Apache Tomcat >=10.1.35

Apache Tomcat >=9.0.99

官方补丁下载地址:

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

二、网御星云方案

1.网御检测类产品方案

网御入侵检测系统(IDS)、网御超融合检测探针(CSP)、网御威胁分析一体机(TAR)、网御WEB应用安全网关(WAF)、网御入侵防御系统(IPS)等产品升级到最新版本,即可有效检测或防护该漏洞造成的攻击。事件库下载地址:

https://leadsec.download.venuscloud.cn/

2.网御星云漏扫产品方案

(1)“网御漏洞扫描系统V6.0”产品已支持对该漏洞进行扫描。

(2)网御漏洞扫描系统608X系列版本已支持对该漏洞进行扫描。

3.网御星云资产与脆弱性管理平台产品方案

网御资产与脆弱性管理平台实时采集并更新情报信息,对入库资产Apache Tomcat远程代码执行漏洞(CVE-2025-24813)进行管理。

4.网御星云安全管理和态势感知平台产品方案

用户可以通过安全管理和态势感知平台进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Apache Tomcat远程代码执行漏洞(CVE-2025-24813)”的漏洞利用攻击行为。

1)在平台中,通过脆弱性发现功能针对“Apache Tomcat远程代码执行漏洞(CVE-2025-24813)”漏洞执行扫描任务,排查管理网络中受此漏洞影响的重要资产。

2)平台“关联分析”模块中,添加“L2_Apache_Tomcat远程代码执行漏洞(CVE-2025-24813)”,通过网御星云检测设备、目标主机系统等设备的告警日志,发现外部攻击行为。

通过分析规则自动将“L2_Apache_Tomcat远程代码执行漏洞(CVE-2025-24813)”漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用。

3)添加“L3_Apache_Tomcat远程代码执行漏洞(CVE-2025-24813)”,条件日志名称等于或包含“L2_Apache_Tomcat远程代码执行漏洞(CVE-2025-24813)”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。

4)ATT&CK攻击链条分析与SOAR处置建议

根据对Apache Tomcat远程代码执行漏洞(CVE-2025-24813)的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:

TA0001-初始访问:T1190-利用公开的应用服务

TA0008-横向移动:T1210-远程服务漏洞利用

TA0011-命令与控制:T1105-入口工具转移

TA0040-影响:T1485-数据破坏

通过安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。

5.网御星云终端产品方案

网御端点威胁检测产品(EDR)提供漏洞的专项验证检查能力,可对漏洞驻留终端进行全网同步验证,匹配漏洞资产,预防漏洞攻击风险。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网