基本描述

2023年2月20日Apache Tomcat官方披露了1个存在于Apache Commons FileUpload中的拒绝服务漏洞，其中编号为CVE-2023-24998的高危漏洞，由于 Apache Commons FileUpload 版本 1.5 之前未限制要处理的请求部分的数量，导致可以通过恶意上传或一系列上传来触发拒绝服务。此外，由于 Apache Tomcat 使用 Apache Commons FileUpload 的打包重命名副本来提供 Jakarta Servlet 规范中定义的文件上传功能，因此 Apache Tomcat 也容易受到该 漏洞影响。目前该漏洞POC（概念验证代码）未公开，但随时存在被网络黑产发现并制造攻击行为的风险。Apache Commons 是一个专注于可重用 Java 组件开发的 Apache 项目，该项目由 Commons Proper、The Commons Sandbox 和The Commons Dormant三个部分组成。Apache Commons-FileUpload 是 Commons Proper 中的一个组件，旨在实现文件上传。至此综述该漏洞的综合评级为“高危”。

漏洞影响

以下产品及版本受到影响：

Apache Commons FileUpload：

1.0-beta-1 - 1.4

Apache Tomcat：

11.0.0-M1

10.1.0-M1 - 10.1.4

9.0.0-M1 - 9.0.70

8.5.0 - 8.5.84

修复建议

官方已经针对漏洞发布了软件更新，下载地址如下：

Apache Commons FileUpload：

版本 >= 1.5

下载链接：https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

Apache Tomcat：

Apache Tomcat 版本 >= 11.0.0-M3

Apache Tomcat 版本 >= 10.1.5

Apache Tomcat 版本 >= 9.0.71

Apache Tomcat 版本 >= 8.5.85

下载链接：https://tomcat.apache.org/index.html

注：Apache Tomcat 11.0.0-M2 未发布。

该漏洞已在 Apache Commons FileUpload 版本 >= 1.5 中修复，但新配置选项 (FileUploadBase#setFileCountMax) 默认情况下未启用，必须明确配置。 

解决方案

一、基于漏洞扫描产品尽快对资产进行漏洞评估

网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包，支持对该漏洞进行授权扫描，用户升级标准漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000488，升级包下载地址：

https://venustech.download.venuscloud.cn/

图1 升级后已支持该漏洞

请使用网御星云漏洞扫描系统V6.0产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

二、网御星云资产与脆弱性管理平台(ASM)排查受影响资产

网御星云资产与脆弱性管理平台实时采集并更新情报信息，对入库资产漏洞Apache Commons FileUpload拒绝服务漏洞（CVE-2023-24998）进行管理，如图2所示：

图2  情报管理模块已入库的Apache Commons FileUpload拒绝服务漏洞

资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞，可第一时间命中受该漏洞影响的资产，如图3所示：

图3  情报命中的资产信息

三、基于安全管理和态势感知平台进行关联分析

广大用户可以通过泰合安全管理和态势感知平台，进行关联策略配置，结合实际环境中系统日志和安全设备的告警信息进行持续监控，从而发现“Apache Commons FileUpload拒绝服务”的漏洞利用攻击行为。

1.在网御星云的平台中，通过脆弱性发现功能针对“Apache_Commons_FileUpload_拒绝服务漏洞（CVE-2023-24998）”执行漏洞扫描任务，排查管理网络中受此漏洞影响的重要资产；

2.平台“关联分析”模块中，添加“L2_Apache_Commons_拒绝服务漏洞利用”，通过网御星云检测设备、目标主机系统等设备的告警日志，发现外部攻击行为：

通过分析规则自动将Apache Commons FileUpload拒绝服务利用的可疑行为源地址添加到观察列表“高风险连接”中，作为内部情报数据使用；

3.添加“L3_Apache_Commons_拒绝服务漏洞利用成功”，条件日志名称等于“L2_Apache_Commons_拒绝服务漏洞利用”，攻击结果等于“攻击成功”，目的地址引用资产漏洞或源地址匹配威胁情报，从而提升关联规则的置信度。

四、ATT&CK攻击链条分析与SOAR处置建议

1.ATT&CK攻击链分析

根据对Apache Commons FileUpload拒绝服务漏洞的攻击利用过程进行分析，攻击链涉及的ATT&CK战术和技术阶段包括：

影响TA0040：端点拒绝服务T1499

2.处置方案建议和SOAR剧本编排

通过网御星云安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置。

北冥数据实验室成立于2022年3月，致力于网络空间安全知识工程研究和体系化建设的专业团队，由网御星云漏洞研究团队、泰合知识工程团队、大数据实验室（BDlab）场景化分析团队联合组成。北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念，专注于提供网络空间安全的基础知识研究和开发，制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略，构建自动化调查和处置响应措施，形成场景化、结构化的知识工程体系，对各类安全产品、平台和安全运营提供知识赋能。