启明星辰提供漏洞扫描和消控方案

发布时间 2023-02-22

Apache Tomcat官方披露1个存在于Apache Commons FileUpload中的拒绝服务漏洞,其中编号CVE-2023-24998为高危漏洞。启明星辰第一时间对Apache Commons FileUpload官方发布的安全公告进行分析研判,结合泰合盘古平台(THPangu-OS)的底座能力,为广大用户提供应急处置指引方案。


由于 Apache Commons FileUpload 版本 1.5 之前未限制要处理的请求部分的数量,导致可以通过恶意上传或一系列上传来触发拒绝服务。并且 Apache Tomcat 使用 Apache Commons FileUpload 的打包重命名副本来提供 Jakarta Servlet 规范中定义的文件上传功能,因此 Apache Tomcat 易受到该漏洞影响。



目前该漏洞POC(概念验证代码)未公开,但随时存在被网络黑产发现并制造攻击行为的风险。Apache Commons 是一个专注于可重用 Java 组件开发的 Apache 项目,该项目由 Commons Proper、The Commons Sandbox 和The Commons Dormant三个部分组成。Apache Commons-FileUpload 是 Commons Proper 中的一个组件,旨在实现文件上传。至此综述该漏洞的综合评级为“高危”。


 修复建议 


官方已经针对漏洞发布了软件更新,下载地址如下:

Apache Commons FileUpload:

版本 >= 1.5

下载链接:

https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi


Apache Tomcat:

Apache Tomcat 版本 >= 11.0.0-M3

Apache Tomcat 版本 >= 10.1.5

Apache Tomcat 版本 >= 9.0.71

Apache Tomcat 版本 >= 8.5.85

下载链接:

https://tomcat.apache.org/index.html


注:Apache Tomcat 11.0.0-M2 未发布。该漏洞已在 Apache Commons FileUpload 版本 >= 1.5 中修复,但新配置选项 (FileUploadBase#setFileCountMax) 默认情况下未启用,必须明确配置。


 启明星辰解决方案 


一:基于漏洞扫描产品尽快对资产进行漏洞评估


启明星辰天镜脆弱性扫描与管理系统已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描。


6070版本升级包为607000488,升级包下载地址:

https://venustech.download.venuscloud.cn/


升级后已支持该漏洞.png


请使用启明星辰天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。


二:启明星辰资产与脆弱性管理平台(ASM)排查受影响资产


启明星辰资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞Apache Commons FileUpload拒绝服务漏洞(CVE-2023-24998)进行管理,如图所示:


情报管理模块已入库的Apache Commons FileUpload拒绝服务漏洞.png


资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞,可第一时间命中受该漏洞影响的资产,如图所示:


情报命中的资产信息.png


三:基于安全管理和态势感知平台进行关联分析


广大用户可以通过泰合安全管理和态势感知平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Apache Commons FileUpload拒绝服务”的漏洞利用攻击行为。


在泰合安全管理和态势感知平台中,通过脆弱性发现功能针对“Apache_Commons_FileUpload_拒绝服务漏洞(CVE-2023-24998)”执行漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产。



在平台“关联分析”模块中,添加“L2_Apache_Commons_拒绝服务漏洞利用”,通过启明星辰检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:



通过分析规则自动将Apache Commons FileUpload拒绝服务利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用;


添加“L3_Apache_Commons_拒绝服务漏洞利用成功”,条件日志名称等于“L2_Apache_Commons_拒绝服务漏洞利用”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。



四:ATT&CK攻击链条分析与SOAR处置建议


1、ATT&CK攻击链分析


根据对Apache Commons FileUpload拒绝服务漏洞的攻击利用过程进行分析,攻击链涉及的ATT&CK战术和技术阶段包括:

影响TA0040:端点拒绝服务T1499



2、处置方案建议和SOAR剧本编排


通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。