标签: 网络安全

研究发现数以千计的指纹文件暴露在不安全的数据库中

研究人员周三说,数千份指纹记录被暴露在一个不安全的数据库中。研究人员周三说,一个包含约76000个独特指纹记录的网络服务器被暴露在互联网上。这些不安全的指纹数据,以及员工的电子邮件地址和电话号码,都是由巴西公司Antheus Tecnologia收集。 该数据库包含近230万个数据点,其中大部分是服务器访问日志,据反病毒研究人员表示,现在这个数据库已经得到了保护。指纹数据以二进制数据流的形式存储,二进制数据流由1和0组成。森说,获得数据的黑客可能会把这些数据转换回指纹的生物特征图像。 研究人员认为,即使黑客目前无法找到一种方法将这些数据用于不良目的,但随着技术的进步,这种情况也会改变。也许将来他们会找到利用这些指纹数据的方法。   (稿源:cnBeta,封面源自网络。)

17 年历史的 RCE 漏洞已影响数个 Linux 系统

一个影响点对点协议守护程序(Point-to-Point Protocol daemon,pppd)软件,并具有 17 年历史的远程代码执行(remote code execution,RCE)漏洞已对几个基于 Linux 的操作系统造成了影响。Pppd 软件不仅预先安装在大多数 Linux 系统中,而且还为流行的网络设备的固件提供 power。 该 RCE 漏洞由 IOActive 的安全研究人员 Ija Van Sprundel 发现,其严重之处在于,由守护程序软件的可扩展身份验证协议(EAP)数据包解析器中的逻辑错误所导致的堆栈缓冲区溢出漏洞。 根据 US-CERT 发布的咨询报告表示,该漏洞已被标记为 CVE-2020-8597。在严重程度方面,CVSS 则将其评为 9.8 分。 将一个 crooked EAP 打包程序发送到目标 pppd 客户端或服务器后,黑客就可以对此漏洞进行利用。其可以利用此漏洞并在受影响的系统上远程执行任意代码,从而接管系统的全部控制权。 而加重该漏洞严重程度的是,点对点协议守护程序通常具有很高的特权。这也就导致一旦黑客通过利用该漏洞控制服务器,就可以获得 root-level 的访问特权。 据 Sprundel 透露,该漏洞在 2.4.2 到 2.4.8 的 pppd 版本或过去 17 年中发布的所有版本中都一直存在。他已经确认以下 Linux 发行版已受到 pppd 漏洞的影响: Ubuntu Debian Fedora SUSE Linux Red Hat Enterprise Linux NetBSD 此外,还有以下设备也附带了受影响的 pppd 版本,并且容易受到攻击: TP-LINK products Synology products Cisco CallManager OpenWRT Embedded OS 建议用户们在补丁发布后尽快更新其系统,以规避潜在的攻击。   (稿源:开源中国,封面源自网络。)

微软:99.9% 被入侵的帐户未启用多因素身份验证

在上周举行的 RSA 安全会议上,微软工程师讲到,他们每月追踪到的 99.9% 受感染帐户都没有启用多因素身份验证(MFA),而该解决方案可以阻止大多数自动帐户攻击。根据微软的数据,他们每天跟踪超过 300 亿次登录和超过 10 亿的月活用户。平均每个月约有 0.5% 的账户被盗,在 2020 年 1 月,这一数字具体约为 120 万。 当企业账户被攻击时,情况将会更糟。微软表示,截至 2020 年 1 月,在这些高度敏感的帐户中,只有 11% 启用了多因素身份验证(MFA)解决方案。 多数 Microsoft 帐户被黑客入侵的主要来源是密码喷洒(password spraying),攻击者通常会选择比较容易猜测的密码,挨个账户进行破解尝试,然后使用第二个密码依次尝试攻击,以此类推。 第二种主要的攻击方式是密码重放(password replays),也就是使用一套被泄露的数据,在另外一个平台尝试登入,如果用户在不同平台重复使用相同的账号密码就会中招。 微软身份和安全架构师 Lee Walker 指出,60% 的用户会重复使用密码,最好不要这样混淆,企业和非企业环境中的账户也应区分开来。 述两类攻击基本都是针对较旧的身份验证协议进行的,例如 SMTP、IMAP、POP 等,主要原因是这些旧式身份验证协议不支持 MFA 解决方案,于是非常容易被黑客利用。 Walker 提醒那些使用旧式身份验证协议的组织,应当立即将其禁用。微软的数据显示,禁用了旧协议的租户,账户被入侵率下降了 67%。 此外,微软建议,每个组织都应优先考虑为用户帐户启用 MFA 解决方案,“这样可以阻止 99.9% 的帐户被黑客入侵。”   (稿源:开源中国,封面源自网络。)

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

近日英特尔发布公告称自家CPU主控存在严重的安全漏洞,允许黑客绕过存储加密、授权内容保护,并在物联网设备中接管控制硬件传感器。目前英特尔官方已经发布了固件和软件更新,并提供检测工具以缓解这些漏洞的影响。 该漏洞存在于啊英特尔融合的安全性和可管理性引擎(CSME)中,具有物理访问权限的攻击者可以在单个平台上执行以下操作: 绕过英特尔反重播保护, 从而允许对存储在英特尔CEME内的机密进行潜在的暴力攻击; 获得未经授权的英特尔管理引擎BIOS扩展 (英特尔MEBX) 密码; 篡改英特尔CSME文件系统目录或服务器平台服务和可信执行环境数据文件的完整性。 英特尔®融合安全管理引擎(英特尔® CSME)子系统中的潜在安全漏洞可能允许: 特权提升 拒绝服务 信息泄露 受影响产品: 在12.0.49 (仅限 IoT:12.0.56)、13.0.21、14.0.11 之前,此潜在漏洞不会影响英特尔® CSME 版本。英特尔 CSME/ME 版本10和11。 此外英特尔还提供了检测工具CSME_Version_Detection_Tool_Windows .zip:适用于 Windows用户 该下载包含两个版本的工具: 第一个版本是一种交互式 GUI 工具,可用于发现设备的硬件和软件细节,并提供风险评估。建议对系统的本地评估使用此版本。 该工具的第二个版本是控制台可执行文件,它将发现信息保存到 Windows 注册表和/或 XML 文件中。对于想要跨多台机器执行批量发现的 IT 管理员来说,这一版本更方便,可以找到面向固件更新的系统。 CSME_Version_Detection_Tool_Linux tar gz:适用于 Linux 用户,该工具的版本是一个命令行可执行文件,它将显示被测系统的风险评估。   (稿源:cnBeta,封面源自网络。)  

使用设备出厂密码存在高安全风险 F-Secure 建议用户及时更改

据外媒报道,仍有许多人在用着糟糕的密码,这是一个巨大的安全风险。很显然在这件事情上产品公司也有错,因为它们在其设备中使用了极容易被猜到的默认用户名和密码–而黑客们深谙这点。 作为一种网络攻击模式检测方式,来自安全公司F-Secure的研究人员在世界各国设置了一系列“蜜罐”诱饵服务器。黑客尝试使用的一些最流行密码出现在了许多最糟糕的密码列表中,像“12345”和“password”但“admin”被证明是最流行的。 许多黑客尝试使用的另一个密码则是“vivx”,这是中国大华公司DVR的默认密码。名单上的另外两个密码“1001chin”和“taZz@23495859”也是其他嵌入式设备的出厂默认密码,包括路由器。 据透露,99.9%的蜜罐流量来自机器人、恶意软件及其他工具。这些攻击可以来自任何联网设备,从传统的PC到智能手表乃至IoT牙刷。 大部分攻击来自美国,而最受欢迎的攻击目的地则是乌克兰,其次是中国、奥地利和美国。 值得注意的是,许多攻击者都会通过其他国家的代理展开攻击,这么做的目的当然是为了避开身份验证环节,所以这份表单的准确性还有待商榷。 当提到最受攻击的TCP端口时,SMB端口445则是当中最受欢迎的,其有5.26亿次点击量,这表明攻击者依旧热衷于使用SMB蠕虫和诸如欺骗机器人之类的攻击。Telnet以5.23亿次的点击量位居第二,这表明对IoT设备的攻击仍非常常见。 另外,该报告还提醒消费者更改设备的默认密码和出厂设置并遵守标准的安全防范措施比如说及时更新固件和补丁。另外,不要使用糟糕的密码。   (稿源:cnBeta,封面源自网络。)

国泰航空因 2018 数据泄露事件被英国 ICO 罚款 50万 英镑

外媒报道称,因 2018 年在欧盟《通用数据保护条例》(GDPR)生效后发生的一次数据意外泄露事件,国泰航空已被英国数据监督机构处以 50 万英镑的罚款。据悉,本次漏洞暴露了全球约 940 万客户的个人详细信息,且其中有 111578 名来自英国。经过数月的调查,信息专员办公室(ICO)于今日正式宣布了这项惩罚。 外媒指出,这可能是根据英国相关法律而指定的最高罚款金额,且与该航空公司在 2018 年秋季发生的数据违例事件有关。 国泰航空当时表示,其在三月份首次发现了针对该公司系统的未经授权访问,但并未解释为何花了那么久的时间才公开。 本次违例导致乘客的详细信息被泄露,包括姓名、护照、出生日期、电子邮件地址、电话号码、以及历史旅行等敏感信息。 ICO 今日称,针对国泰航空系统的未经授权访问,最早可追溯到 2014 年 10 月 14 日。已知针对个人数据的窥探,最早记录是 2015 年 2 月 7 日。 监管机构在一份新闻稿中写道:“ICO 发现国泰航空公司的系统是通过连接到互联网的服务器进入的,并被安装了恶意软件来收集数据”。 调查期间,监管机构记下了大量的错误和疏漏,包括未对文件加上密码保护、没有给面向互联网的服务器打上补丁、使用不再受支持的操作系统、以及防病毒措施的不足。 由 ICO 对国泰航空的处罚可知,英国已将欧盟的 GDPR 框架纳入了该国的法律,对涉及个人数据的违例采取了更加严格的惩戒措施。 根据要求,在当地有开展业务的数据控制者在意识到违例行为发生后,必须在 72 小时内通报英国国家监管机构。 此外 GDPR 包含了更加严格的罚款制度,最高可达全球年营业额的 4% 。不过由于事件发生在新规生效之前,ICO 还是按照先前的英国数据保护法规来设定罚款金额,否则国泰航空将面临更猛烈的冲击。 去年夏天,曝出安全漏洞被利用的英国航空因在 GDPR 生效后泄露了 50 万名旅客数据,而被 ICO 处以年收入 1.5% 的罚款(高达 1.839 亿英镑)。   (稿源:cnBeta,封面源自网络。)

“Higaisa(黑格莎)”组织近期攻击活动报告

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/895.html   一、背景概述 腾讯安全威胁情报中心检测到“higaisa(黑格莎)”APT组织在被披露后经过改头换面再次发动新一轮的攻击,在这轮攻击中,该组织舍弃了使用多年的dropper,完全重写了攻击诱饵dropper,此外还引入了dll侧加载(白加黑)技术对抗安全软件的检测和查杀。 “Higaisa(黑格莎)”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织,因为其常用higaisa作为加密密码而得名。该组织具有政府背景,其活动至少可以追溯到2016年,且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等,受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 二、基础信息   文件名 MD5 功能/属性 Happy-new-year-2020.scr 2173b589b30ba2b0242c82c9bcb698b2 dropper Rekeywiz.exe 082ed4a73761682f897ea1d7f4529f69 白文件,用于+加黑 Duser.dll 5de5917dcadb2ecacd7ffd69ea27f986 Downloader cspwizres.exe 54c0e4f8e59d1bd4c1e0d5884b173c42 窃密木马 2020-New-Year-Wishes-For-You.scr 37093D3918B0CC2CA9805F8225CCCD75 dropper Duser.dll 01B90259A9771D470582073C61773F30 Downloader 390366d02abce50f5bb1df94aa50e928 390366d02abce50f5bb1df94aa50e928 Gh0st trojan bbf9822a903ef7b9f33544bc36197594 bbf9822a903ef7b9f33544bc36197594 Gh0st trojan 0a15979a72f4f11ee0cc392b6b8807fb 0a15979a72f4f11ee0cc392b6b8807fb Gh0st trojan 739a40f8c839756a5e6e3c89b2742f8e 739a40f8c839756a5e6e3c89b2742f8e Gh0st trojan 三、鱼叉攻击 与以往的攻击手段类似,“higaisa(黑格莎)”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击,最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等,欺骗用户下载并打开附件。 附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr,运行后释放并打开与主体相对应的图片欺骗受害者。 四、木马行为分析 1.Dropper 1)2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似 可能由于被曝光的原因,该组织对dropper进行了重写,舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式,直接从数据段中解密(XOR 0x1A)释放恶意文件到指定目录并执行。释放的恶意文件如下: %ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe(白) %ALLUSERSPROFILE%\CommonDatas\Duser.dll(黑) %TEMP%\Happy-new-year-2020.jpg(正常的伪装图片) 2)使用com创建EfsRekeyWizard.lnk到启动目录,指向Rekeywiz.exe实现持久化。 2. Downloader 1)Rekeywiz.exe文件为操作系统白文件,运行时会加载edsadu.dll,该文件也是系统自带文件,edsadu.dll加载过程中会加载Duser.dll,实现白加黑攻击: 2)Duser.dll的InitGadgets接口函数中实现了恶意功能,创建恶意线程: 3)使用RC4解密出C2,然后获取磁盘序列号的CRC32值作为tn参数,获取随机字母为ved参数,向C2发送请求,C2为:hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php 4)C2返回的数据也是经过RC4加密的数据,解密后为PE文件,释放到temp目录后执行: 5)其中文件名也来自于C2的返回数据,取数据从后往前第一个’&’之后的字符作为文件名: 6)C2返回的数据实例,与之前的攻击类似:最终下载了infostealer+gh0st RAT 3.Infostealer cspwizres.exe(54c0e4f8e59d1bd4c1e0d5884b173c42)文件主要行为是获取计算机信息,并发送到C2。 1)解密出要执行的命令结果如下:主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\: 2)创建cmd执行以上命令,并通过管道获取执行结果 3)解密出C2,C2地址与之前的攻击活动相似 4)将获取的信息上传到C2中185.247.230.252: 4. RAT 持续监控中发现,后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统,我们目前共在受害机发现3个不同版本的gh0st木马。 版本1: 该木马为gh0st RAT,含有文件管理、进程管理、CMDshell等功能,C2: x1.billbord.net:6539。 版本2: 该木马为gh0st RAT,含有文件管理、进程管理、CMDshell等功能, C2: www.phpvlan.com:8080 版本3: 该木马为gh0st远控改版,只保留插件管理功能,所有功能需插件实现,C2: console.hangro.net:1449。 5. TTP/武器更新 1)Dropper 本轮攻击利用“白+黑”的方式加载Downloader模块:rekeywiz.exe+ Duser.dll 2)Downloader 自腾讯安全御见威胁情报中心公布该组织攻击报告后(https://s.tencent.com/research/report/836.html),该组织对其Downloader进行改版,新一批downloader下载功能均基于老版本的curl开源代码实现: 五、MITRE ATT&CK   Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution T1175 Component Object Model and Distributed COM T1072 Third-party Software Persistence T1179 Hooking T1137 Office Application Startup T1038 DLL Search Order Hijacking T1060 Registry Run Keys / Startup Folder Defense Evasion T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 六、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、 通过官方渠道或者正规的软件分发渠道下载相关软件; 2、 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 4、 及时安装操作系统补丁和Office等重要软件的补丁; 5、 使用杀毒软件防御可能的病毒木马攻击,对于企业用户,推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 6、 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 七、附录 IOCs 185.247.230.252                        infostealer petuity.shopbopstar.top            downloader adobeinfo.shopbopstar.top    downloader console.hangro.net:1449         gh0st plug www.phpvlan.com:8080          gh0st x1.billbord.net:6539                  gh0st MD5 2173b589b30ba2b0242c82c9bcb698b2 082ed4a73761682f897ea1d7f4529f69 54c0e4f8e59d1bd4c1e0d5884b173c42 4d937035747b4eb7a78083afa06022d3 5de5917dcadb2ecacd7ffd69ea27f986 37093d3918b0cc2ca9805f8225cccd75 01b90259a9771d470582073c61773f30 25c80f37ad9ad235bea1a6ae68279d2e 739a40f8c839756a5e6e3c89b2742f8e 6a0fab5b99b6153b829e4ff3be2d48cd 0a15979a72f4f11ee0cc392b6b8807fb 390366d02abce50f5bb1df94aa50e928 bbf9822a903ef7b9f33544bc36197594 4ff9196bac6bf3c27421af411c57ba52 参考资料 警惕来自节假日的祝福:APT攻击组织”黑格莎(Higaisa)”攻击活动披露 https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw

Wi-Fi 漏洞 Kr00k 曝光:全球数十亿台设备受影响

由赛普拉斯半导体(Cypress Semiconductor)和博通(Broadcom)制造的Wi-Fi芯片存在严重安全漏洞,让全球数十亿台设备非常容易受到黑客的攻击,能让攻击者解密他周围空中传输的敏感数据。 在今天开幕的RSA安全会议中,这项安全漏洞被公开。而对于Apple用户而言,该问题已在去年10月下旬发布的iOS 13.2和macOS 10.15.1更新中得到了解决。 安全公司ESET在RSA会议上详细介绍了这个漏洞,黑客可以利用称为Kr00k的漏洞来中断和解密WiFi网络流量。该漏洞存在于赛普拉斯和博通的Wi-Fi芯片中,而这是拥有全球市场份额较高的两大品牌,从笔记本电脑到智能手机、从AP到物联网设备中都有广泛使用。 其中亚马逊的Echo和Kindle、苹果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、树莓派、小米、华硕、华为等品牌产品中都有使用。保守估计全球有十亿台设备受到该漏洞影响。 黑客利用该漏洞成功入侵之后,能够截取和分析设备发送的无线网络数据包。Ars Technica表示: Kr00k利用了无线设备从无线接入点断开关联时出现的漏洞。如果终端用户设备或AP热点遭到攻击,它将把所有未发送的数据帧放入发送缓冲区,然后再无线发送它们。易受攻击的设备不是使用先前协商并在正常连接期间使用的会话密钥来加密此数据,而是使用由全零组成的密钥,此举使解密变得不太可能。 一件好事是,Kr00k错误仅影响使用WPA2-个人或WPA2-Enterprise安全协议和AES-CCMP加密的WiFi连接。 这意味着,如果使用Broadcom或Cypress WiFi芯片组设备,则可以防止黑客使用最新的WiFi验证协议WPA3进行攻击。 据发布有关该漏洞的详细信息的ESET Research称,该漏洞已与潜在受影响的各方一起公开给了Broadcom和Cypress。目前,大多数主要制造商的设备补丁已发布。关于该漏洞的信息,可以访问https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf   (稿源:cnBeta,封面源自网络。)

Microsoft Edge v82 开始提供与 Chrome 相似的伪装 URL 安全提醒

Google Chrome浏览器提供了“相似网址”警告保护,以警告并使用户在访问包含与热门网站相似的URL的网站时及时离开。当发现用户访问包含风险的伪造相似地址的网站时,系统会弹出警告“您刚刚尝试访问的网站看起来是假的,攻击者有时通过对URL进行细微而难以看到的更改来模仿站点”。 Chrome最早从从v75版本开始启用的相关设置,而现在微软也已紧跟其后,Microsoft Edge的82版的Dev和Canary版本在默认情形下均已启用了此功能。 Edge在识别出风险后会建议用户访问相似或受欢迎的网站,而不是停留在当前页面上,因为攻击者可能会窃取用户的私人信息。 请注意,与将网站地址发送给Google的Chrome不同,新Edge将网站地址发送给Microsoft / Bing以在用户浏览器中查找并显示正确的网站。   (稿源:cnBeta,封面源自网络。)

关于 Apache Tomcat 存在文件包含漏洞的安全公告

国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,安全公告编号:CNTA-2020-0004,具体信息如下: 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 Tomcat 是 Apache 软件基金会 Jakarta 项目中的一个核心项目,作为目前比较流行的 Web 应用服务器,深受 Java 爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,被普遍使用在轻量级 Web 应用服务的构架中。 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器 webapp 下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。 CNVD 对该漏洞的综合评级为“高危”。 二、漏洞影响范围 漏洞影响的产品版本包括: Tomcat 6 Tomcat 7 Tomcat 8 Tomcat 9 CNVD 平台对 Apache Tomcat AJP 协议在我国境内的分布情况进行统计,结果显示我国境内的 IP 数量约为 55.5 万,通过技术检测发现我国境内共有 43197 台服务器受此漏洞影响,影响比例约为 7.8%。 三、漏洞处置建议 目前,Apache 官方已发布 9.0.31、8.5.51 及 7.0.100 版本对此漏洞进行修复,CNVD 建议用户尽快升级新版本或采取临时缓解措施: 1.   如未使用 Tomcat AJP 协议: 如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。 如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭 AJPConnector,或将其监听地址改为仅监听本机 localhost。 具体操作: (1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录): <Connector port="8009"protocol="AJP/1.3" redirectPort="8443" /> (2)将此行注释掉(也可删掉该行): <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />--> (3)保存后需重新启动,规则方可生效。 2.   如果使用了 Tomcat AJP 协议: 建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复,同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值): <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/> 如无法立即进行版本更新、或者是更老版本的用户,建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值): <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"require 附:参考链接 https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for   (稿源:开源中国,封面源自网络。)