【安全通报】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)

xiannv  1659天前

2020年5月20日,Apache Tomcat官方发布安全公告,披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。

tomcat.png

概况

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件:

1. 攻击者能够控制服务器上文件的内容和名称

2. 服务器PersistenceManager配置中使用了FileStore

3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象

4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻,实际危害相对较低,为彻底防止漏洞潜在风险,白帽汇安全研究院仍建议Apache Tomcat用户修复漏洞。

微信图片_20200521171305.png

CVE编号

CVE-2020-9484

危害等级

高危

FOFA指纹

app="Apache-Tomcat"

漏洞影响范围

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有 2673114 个Tomcat服务对外开放。中国大陆使用数量最多,共有 949169 个,美国第二,共有 602103 个,巴西第三,共有 103842 个,德国第四,共有 95429 个,韩国第五,共有92790个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

Snipaste_2020-05-21_10-19-44.png

中国大陆地区浙江省使用数量最多,共有 355252 个,北京市第二,共有 161704 个,广东省第三,共有 66519 个,上海市第四,共有 42762 个,江苏省第五,共有 36483 个

Snipaste_2020-05-21_10-22-58.png

影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

不受影响版本

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

漏洞复现结果

目前 Vulfocus 中已经更新了 Tomcat-CVE-2020-9484 的靶场环境,可通过 Dockerhub 拉取镜像,进行漏洞复现测试。

youdu图片20200521191426.png

youdu图片20200521191027.png

安全建议

1. 升级Apache Tomcat至不受影响版本

2. 禁止使用Session持久化功能FileStore

参考

[1] https://help.aliyun.com/noticelist/articleid/1060296997.html

[2] https://tomcat.apache.org/security.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论