首頁 > 安全研究 > 安全通報 > 安全事件響應

Apache Tomcat遠程命令執行漏洞來襲(CVE-2025-24813),啟明星辰提供解決方案

發布時間 2025-03-13

Apache Tomcat是一個開源的Java Servlet容器,廣泛用于運行Java Web應用程序。它實現了Java Servlet和JavaServer Pages技術,提供了一個運行環境來處理HTTP請求、生成動態網頁,并支持WebSocket通信。Tomcat以其穩定性、靈活性和易用性而受到開發者的青睞,是開發和部署Java Web應用的重要工具之一。


2025年3月,啟明星辰監控到Apache官方發布漏洞風險通告,該漏洞影響啟用了Partial PUT和DefaultServlet寫入權限的環境,可能導致攻擊者繞過路徑校驗訪問敏感文件或寫入特定文件以執行惡意的反序列化導致代碼執行。


漏洞編號

CVE-2025-24813

漏洞評估

 

漏洞利用難度

漏洞利用條件

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34

9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98

漏洞類型

命令執行

公開程度

POC未公開


漏洞復現截圖

 

圖片1.png


圖片2.png

 

檢測方法


進入Tomcat安裝目錄的bin目錄,運行version.bat(Linux運行version.sh)后,可查看當前的軟件版本號。


影響版本


11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34

9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98


修復建議


1. 禁止partial PUT:在 conf/web.xml 中修改 allowPartialPut 參數為false,重啟 Tomcat 以使配置生效。

2. 嚴格控制 DefaultServlet 寫入權限:確保 readonly=true,禁用所有未經授權的 PUT/DELETE 請求,僅允許可信來源訪問受限目錄。


一、官方修復方案:


目前官方已發布安全更新,建議用戶盡快升級至最新版本:

Apache Tomcat >=11.0.3

Apache Tomcat >=10.1.35

Apache Tomcat >=9.0.99


官方補丁下載地址:

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html


二、啟明星辰方案:


1、啟明星辰檢測類產品方案


天闐入侵檢測與管理系統(IDS)、天闐超融合檢測探針(CSP)、天闐威脅分析一體機(TAR)、天清WEB安全應用網關(WAF)、天清入侵防御系統(IPS),升級到最新版本即可有效檢測或防護該漏洞造成的攻擊風險。


事件庫下載地址:https://venustech.download.venuscloud.cn/


2、啟明星辰漏掃產品方案


(1)“啟明星辰漏洞掃描系統V6.0”產品已支持對該漏洞進行掃描。

 

圖片3.png


(2)啟明星辰漏洞掃描系統608X系列版本已支持對該漏洞進行掃描。

 

圖片4.png


3、啟明星辰資產與脆弱性管理平臺產品方案


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產Apache Tomcat遠程代碼執行漏洞(CVE-2025-24813)進行管理。

 

圖片5.png


4、啟明星辰安全管理和態勢感知平臺產品方案


用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“Apache Tomcat遠程代碼執行漏洞(CVE-2025-24813)”的漏洞利用攻擊行為。


1)在泰合的平臺中,通過脆弱性發現功能針對“Apache Tomcat遠程代碼執行漏洞(CVE-2025-24813)”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產;

 

圖片6.png


2)平臺“關聯分析”模塊中,添加“L2_Apache_Tomcat遠程代碼執行漏洞(CVE-2025-24813)”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為:


圖片7.png

 

通過分析規則自動將"L2_Apache_Tomcat遠程代碼執行漏洞(CVE-2025-24813)"漏洞利用的可疑行為源地址添加到觀察列表“高風險連接”中,作為內部情報數據使用;


3)添加“L3_Apache_Tomcat遠程代碼執行漏洞(CVE-2025-24813)”,條件日志名稱等于或包含“L2_Apache_Tomcat遠程代碼執行漏洞(CVE-2025-24813)”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。

 

圖片8.png


4)ATT&CK攻擊鏈條分析與SOAR處置建議


根據對Apache Tomcat遠程代碼執行漏洞(CVE-2025-24813)的攻擊利用過程進行分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:


TA0001-初始訪問:T1190-利用公開的應用服務

TA0008-橫向移動:T1210-遠程服務漏洞利用

TA0011-命令與控制:T1105-入口工具轉移

TA0040-影響:T1485-數據破壞

表1.jpg

通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置。


5、啟明星辰終端產品方案


天珣終端安全一體化(EDR)提供漏洞的專項驗證檢查能力可對漏洞駐留終端進行全網同步驗證,匹配漏洞資產,預防漏洞攻擊風險。

 

 圖片9.png

上一篇 下一篇