漏洞处置建议｜Apache Tomcat远程代码执行漏洞处置建议

Posted 2021-04-04 360企业安全

Apache Tomcat是美国Apache软件基金会的一款轻量级Web应用服务器，该程序实现了对Servlet和JSP的支持。近日，Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞（CVE-2019-0232）。

在启用了enableCmdLineArguments的Windows上运行时，由于JRE将命令行参数传递给Windows的方式存在错误，CGI Servlet很容易受到远程执行代码的攻击。CGI Servlet默认是关闭的。在Tomcat 以下版本将触发此漏洞。

此漏洞触发条件：1）Windows；2）启用了CGIServlet（默认为关闭）；3）启用了enableCmdLineArguments（Tomcat 9.0.*版本默认为关闭）。

危害级别：【高危】

影响版本：

Apache Tomcat 9.0.0.M1to 9.0.17

Apache Tomcat 8.5.0 to8.5.39

Apache Tomcat 7.0.0 to7.0.93

漏洞验证：

本地测试验证如下。

天眼处置方案：

1、2019年4月12日之后，奇安信旗下的天眼新一代威胁感知系统已经可以检测Apache Tomcat远程执行代码漏洞（CVE-2019-0232），规则名称为：Windows上的Apache Tomcat远程执行代码（CVE-2019-0232），规则编号为：0x1002066F。建议用户升级至最新版本3.0.0415.10997或以上版本。

以下为天眼新一代威胁感知系统（TSS）上对应的告警详情：

2、天眼新一代威胁感知系统（TSS）上可以根据告警新建并启动调查任务，对攻击事件进行溯源分析。如下图所示。通过调查协助分析攻击者的攻击过程，便于即时对攻击者进行阻断，并确认受害者的受影响程度。

安全建议：

1、版本排查。如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本。进入tomcat安装目录的bin目录，输入命令version.bat后，可查看当前的软件版本号。

2、升级到官方最新版本。受影响版本的用户可以应用以下措施之一：

- 升级到Tomcat 9.0.18或之后版本，目前Tomcat 9.0.19已经于4月13日发布；

- 升级到Tomcat 8.5.40或之后版本，目前Tomcat 8.5.40已经于4月12日发布；

- 升级到Tomcat 7.0.94或之后版本，目前Tomcat 7.0.94已经于4月12日发布。

参考链接：

http://mail-archives.us.apache.org/mod_mbox/www-announce/201904.mbox/%3C13d878ec-5d49-c348-48d4-25a6c81b9605%40apache.org%3E

https://github.com/pyn3rd/CVE-2019-0232