【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)

存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。

绿盟科技已在第一时间复现了利用该漏洞读取文件的过程 。

一、综述

2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。

公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。

漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文件、源代码等。而且如果服务器端有文件上传功能,那么还可能进一步实现远程代码的执行。

绿盟科技已在第一时间复现了利用该漏洞读取文件的过程,效果如下图所示:

此外,在服务器上存在上传点的情况下,复现了远程代码执行。

参考链接:

https://www.cnvd.org.cn/webinfo/show/5415

二、漏洞影响范围

  • Tomcat 6 (已不受维护)
  • Tomcat 7 Version < 7.0.100
  • Tomcat 8 Version < 8.5.51
  • Tomcat 9 Version < 9.0.31

三、影响排查

3.1 本地检测

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。

    若当前版本在受影响范围内,则可能存在安全风险。

四、技术防护方案

4.1 官方修复方案

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

Apache Tomcat 7.0.100 :http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51 :http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31 :http://tomcat.apache.org/download-90.cgi

4.2 临时解决方案

如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。

  • 若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。具体操作:

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

(2)将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新启动Tomcat,规则方可生效。

  • 若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TO MCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TO MCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

4.3 绿盟科技检测防护建议

4.3.1 绿盟科技检测类产品与服务

1、资产可使用绿盟云紧急漏洞在线检测,检测地址如下:

手机端访问地址:

https://cloud.nsfocus.com/megi/holes/hole_ApacheTomcat_2020_02_20.html

PC端访问地址:https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026

2、内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6)、Web应用漏洞扫描系统(WVSS)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。

  • 远程安全评估系统(RSAS V6)系统插件

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

  • 远程安全评估系统(RSAS V6)Web插件

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

  • Web应用漏洞扫描系统(WVSS)

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

  • 入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

通过上述链接,升级至最新版本即可进行检测!

4.3.2 使用绿盟科技防护类产品进行防护

入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

通过上述链接,升级至最新版本即可进行防护!

4.3.3 检测防护产品升级包/规则版本号

检测产品 升级包/规则版本号
RSAS V6 系统插件包 V6.0R02F01.1709
RSAS V6 Web插件包 V6.0R02F00.1604
WVSSV6 插件包 V6.0R03F00.153
IDS 5.6.8.816、 5.6.9.21979、 5.6.10.21979
UTS 5.6.10.21979

注意:IDPS 569/5610和UTS设备,要检测该漏洞,需要将专业参数的UnknownDisableEncrypt开关置为否。

  • RSAS V6 系统插件包下载链接:

http://update.nsfocus.com/update/downloads/id/102566

  • RSAS V6 Web插件包下载链接:

http://update.nsfocus.com/update/downloads/id/102580

  • WVSSV6插件包下载链接:

http://update.nsfocus.com/update/downloads/id/102537

  • IDS 升级包下载链接:

5.6.8.816

http://update.nsfocus.com/update/downloads/id/102567

5.6.9.21979

http://update.nsfocus.com/update/downloads/id/102575

5.6.10.21979

http://update.nsfocus.com/update/downloads/id/102576

  • UTS 升级包下载链接:

http://update.nsfocus.com/update/downloads/id/102579

防护产品 升级包/规则版本号 规则编号
IPS 5.6.8.816、 5.6.9.21979、 5.6.10.21979 24719
  • IPS 升级包下载链接:

5.6.8.816

http://update.nsfocus.com/update/downloads/id/102567

5.6.9.21979

http://update.nsfocus.com/update/downloads/id/102575

5.6.10.21979

http://update.nsfocus.com/update/downloads/id/102576

4.3.4 安全平台

平台 升级包/规则版本号
ESP(绿盟企业安全平台解决方案) 利用规则升级包升级: ESP-EVENTRULE-004-20200221.dat
ESP-H(绿盟企业安全平台) 利用规则升级包升级: ESP-EVENTRULE-003-20200221.dat 或者ESP-EVENTRULE-004-20200221.dat
ISOP(绿盟智能安全运营平台) 利用规则升级包升级: attack_rule.1.0.0.0.204825.dat
TVM(绿盟威胁和漏洞安全管理平台) 2020022101
BSA(绿盟日志数据安全性分析系统) 2.0R00F05SP03 2.0R01F00SP03

五、附录A ·产品使用指南

5.1  安全平台应急响应手册

5.1.1  ESP/ESP-H

第一步:登录ESP/ESP-H平台;

第二步:进入安全分析-事件规则;

第三步:如下图,点击导入规则,如果是ESP-H F07系列,导入规则包ESP-EVENTRULE-003-20200221.dat。如果是ESP或者ESP-H F06系列,导入规则包ESP-EVENTRULE-004-20200221.dat。

5.1.2 iSOP(绿盟智能安全运营平台)

登陆isop平台,将系统的攻击识别规则包升级至attack_rule.1.0.0.0.204825。

第一步:点击系统升级,如图所示

第二步:在“统一规则库升级”中选择“攻击识别规则包”,选择attack_rule.1.0.0.0.204825导入上传,上传完毕后点击升级即可。

5.2 RSAS扫描配置

请相关用户访问以下链接,下载并升级到最新插件版本,RSAS可提供针对此次漏洞的扫描能力。

以RSAS 6.0 版本为例,访问以下链接可到下载规则包页面:

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

在系统升级中,点击下图红框位置选择文件。

选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此次漏洞进行扫描。

5.3 WVSS扫描配置

请已经部署WEB应用漏洞扫描系统(WVSS)的用户,下载并升级到最新版本插件,WVSS可提供针对此漏洞的扫描能力,具体升级步骤如下:

从官网下载最新的WVSS升级包,以WVSS 6.0为例:

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

在WVSS的系统升级界面,点击下图红框位置选择文件,进行升级:

选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此漏洞进行扫描。

5.4 UTS检测配置

从官网升级系统的统一威胁检测探针升级包中下载uts系统规则升级包:

http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传。

等待升级成功即可。

5.5 IPS防护配置

已经部署绿盟网络入侵防护系统(NIPS)的用户,可通过规则升级进行有效的防护,相关用户可参考以下步骤进行规则库升级。

从官网下载最新的NIPS升级包,以5.6.10版本为例,访问以下链接可到下载规则包页面:

http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10

在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。

更新成功后,在系统默认规则库中查找规则编号:24719,即可查询到对应的规则详情。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

Spread the word. Share this post!

Meet The Author

Leave Comment