东森平台提供漏洞扫描和消控方案

宣布时间 2023-02-22

Apache Tomcat官方披露1个存在于Apache Commons FileUpload中的拒绝服务漏洞，其中编号CVE-2023-24998为高危漏洞。东森平台第一时间对Apache Commons FileUpload官方宣布的宁静通告进行分析研判，结合泰合盘古平台（THPangu-OS）的底座能力，为广大用户提供应急处置指引方案。

由于 Apache Commons FileUpload 版本 1.5 之前未限制要处置的请求部门的数量，导致可以通过恶意上传或一系列上传来触发拒绝服务。而且 Apache Tomcat 使用 Apache Commons FileUpload 的打包重命名副原来提供 Jakarta Servlet 规范中界说的文件上传功效，因此 Apache Tomcat 易受到该漏洞影响。

东森·(中国区)官方网站

目前该漏洞POC（看法验证代码）未果然，但随时存在被网络黑产发现并制造攻击行为的风险。Apache Commons 是一个专注于可重用 Java 组件开发的 Apache 项目，该项目由 Commons Proper、The Commons Sandbox 和The Commons Dormant三个部门组成。Apache Commons-FileUpload 是 Commons Proper 中的一个组件，旨在实现文件上传。至此综述该漏洞的综合评级为“高危”。

修复建议

官方已经针对漏洞宣布了软件更新，下载地址如下：

Apache Commons FileUpload：

版本 >= 1.5

下载链接：

https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

Apache Tomcat：

Apache Tomcat 版本 >= 11.0.0-M3

Apache Tomcat 版本 >= 10.1.5

Apache Tomcat 版本 >= 9.0.71

Apache Tomcat 版本 >= 8.5.85

下载链接：

https://tomcat.apache.org/index.html

注：Apache Tomcat 11.0.0-M2 未宣布。该漏洞已在 Apache Commons FileUpload 版本 >= 1.5 中修复，但新配置选项 (FileUploadBase#setFileCountMax) 默认情况下未启用，必须明确配置。

东森平台解决方案

一：基于漏洞扫描产物尽快对资产进行漏洞评估

东森平台天镜脆弱性扫描与管理系统已紧急宣布针对该漏洞的升级包，支持对该漏洞进行授权扫描，用户升级尺度漏洞库后即可对该漏洞进行扫描。

6070版本升级包为607000488，升级包下载地址：

https://venustech.download.venuscloud.cn/

升级后已支持该漏洞.png

请使用东森平台天镜脆弱性扫描与管理系统产物的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快接纳防范措施。

二：东森平台资产与脆弱性管理平台(ASM)排查受影响资产

东森平台资产与脆弱性管理平台实时收罗并更新情报信息，对入库资产漏洞Apache Commons FileUpload拒绝服务漏洞（CVE-2023-24998）进行管理，如图所示：

情报管理�？橐讶肟獾腁pache Commons FileUpload拒绝服务漏洞.png

资产与脆弱性管理平台凭据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞，可第一时间命中受该漏洞影响的资产，如图所示：

情报命中的资产信息.png

三：基于宁静管理和态势感知平台进行关联分析

广大用户可以通过泰合宁静管理和态势感知平台，进行关联计谋配置，结合实际环境中系统日志和宁静设备的告警信息进行连续监控，从而发现“Apache Commons FileUpload拒绝服务”的漏洞利用攻击行为。

在泰合宁静管理和态势感知平台中，通过脆弱性发现功效针对“Apache_Commons_FileUpload_拒绝服务漏洞（CVE-2023-24998）”执行漏洞扫描任务，排查管理网络中受此漏洞影响的重要资产。

东森·(中国区)官方网站

在平台“关联分析”�？橹�，添加“L2_Apache_Commons_拒绝服务漏洞利用”，通过东森平台检测设备、目标主机系统等设备的告警日志，发现外部攻击行为：

东森·(中国区)官方网站

通过分析规则自动将Apache Commons FileUpload拒绝服务利用的可疑行为源地址添加到视察列表“高风险连接”中，作为内部情报数据使用；

添加“L3_Apache_Commons_拒绝服务漏洞利用乐成”，条件日志名称即是“L2_Apache_Commons_拒绝服务漏洞利用”，攻击结果即是“攻击乐成”，目的地址引用资产漏洞或源地址匹配威胁情报，从而提升关联规则的置信度。

东森·(中国区)官方网站

四：ATT&CK攻击链条分析与SOAR处置建议

1、ATT&CK攻击链分析

凭据对Apache Commons FileUpload拒绝服务漏洞的攻击利用过程进行分析，攻击链涉及的ATT&CK战术和技术阶段包罗：

影响TA0040：端点拒绝服务T1499

东森·(中国区)官方网站

2、处置方案建议和SOAR剧本编排

通过泰合宁静管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

东森平台提供漏洞扫描和消控方案

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线