【漏洞预警】Tomcat 远程代码执行漏洞

2017年9月19日网络中公开Tomcat的远程代码执行漏洞。攻击者可以向存在漏洞的服务上传Jsp脚本的Webshell后门。导致服务器被入侵控制。 Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。在全球范围内有众多使用者。其中政府、教育、央企、部委、各大互联网公司均有使用。

全球共有2779991个Tomcat对外开放。中国地区使用最多，共有829796个；第二是美国，共有797751个；第三是德国，共有123137个；韩国第四，共有79882；爱尔兰第五，共有68026个。

中国地区中，浙江省使用最多，共有295164个；北京市第二，共有154608个；广东省第三，共有63584个；上海市第四，共有53352个；江苏省第五，共有35378个。

Tomcat 全球分布情况（仅为分布情况，非漏洞影响情况）

Tomcat 中国地区分布情况（仅为分布情况，非漏洞影响情况）

漏洞危害

低

漏洞原理与危害

当Tomcat运行在 Windows系统上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能通过精心构造的攻击请求向服务器上传包含任意代码的JSP文件。最终造成远程代码执行漏洞。

该漏洞可导致用户服务器被上传恶意后门文件，被黑客控制，提升管理权限。

漏洞影响

由于配置默认不开启，所以漏洞相对危害不高。根据白帽汇抽样检测统计结果，该系统存在漏洞数量不足1%。

漏洞POC

FOFA客户端已经支持该漏洞检测。

CVE编号

CVE-2017-12615

修复建议

1、升级Tomcat至最新版本。
2、删除tomcat /conf/web.xml 文件中的配置内容。

白帽汇会持续对该漏洞进行跟进。后续可以关注该链接

参考

[1] https://tomcat.apache.org/security-7.html?spm=5176.7759880.2.3.vRGas1#ApacheTomcat7.x_vulnerabilities

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。