首頁 > 關于我們 > 新聞動態 > 產品動態

實戰出真知 | 安星智能體賦能實戰化運營,高效應對高危漏洞

發布時間 2025-06-13

前言:


Apache Tomcat曝出的遠程代碼執行漏洞CVE-2025-24813,對基于Tomcat的應用構成嚴重安全威脅。該漏洞允許攻擊者通過惡意序列化對象執行任意命令,獲取服務器控制權,導致敏感數據泄露與系統破壞。


某客戶通過部署AI驅動的安星智能體成功化解此危機。安星智能體憑借實時AI研判能力,從攻擊特征、上下文關聯等多維度進行快速分析與決策,精準識別出針對該漏洞的定向攻擊行為,立即聯動防御劇本實施阻斷,并同步通知管理員修復漏洞,有效保障了客戶業務系統的安全穩定運行,彰顯了智能安全防護的核心價值。


事件回顧


2025年3月28日13:55,安星智能體監測到針對生產環境 Web 集群的異常攻擊行為,詳情如下:


? 攻擊載荷:此次攻擊采用Base64編碼的PUT請求,內含.webindex.session文件。攻擊者意圖通過此方式,將惡意腳本上傳至目標服務器,為后續的惡意操作做準備。


漏洞利用 :攻擊者利用CVE-2025-24813漏洞的核心機制,在處理特定請求時觸發反序列化缺陷,并結合臨時文件路徑解析中的邏輯漏洞,成功在目標服務器上構造出可控的可執行文件路徑。通過發送精心構造的Base64編碼PUT請求,攻擊者能夠在未授權的情況下將惡意腳本寫入服務器的可執行目錄,最終實現遠程代碼執行,獲得服務器控制權限。


目標資產 :遭受攻擊的是承載核心業務的Tomcat服務器,該服務器存儲著大量業務數據,且直接面向客戶提供服務,一旦被攻陷,會對業務的正常運轉和客戶信息安全造成嚴重威脅。


圖片1.png

圖1  捕獲攻擊路徑和攻擊概要信息


圖片2.png

圖2  捕獲攻擊載荷payload信息


安星智能體AI研判與響應能力


1、AI智能研判:多維度威脅識別與決策


圖片3.png

圖3  AI智能研判


特征識別 :引擎具備強大的識別能力,能在十幾秒內對PUT方法、異常的Content-Type、User-Agent以及payload進行多維特征匹配。通過精準識別這些關鍵特征,快速判斷請求是否存在惡意行為。


圖片4.png

圖4  AI研判總結


上下文關聯 :自動關聯資產數據與歷史攻擊行為,構建完整的攻擊畫像。通過分析可知,源IP(56.45.85.23)近期對目標IP進行了多次探測和攻擊嘗試,其Payload中包含目錄遍歷和Java反序列化相關特征,存在較高威脅。


圖片5.png

圖5   攻擊畫像和受害者畫像


決策輸出 :基于全面的研判結果,AI 智能研判引擎給出詳細且具有針對性的處置建議


圖片6.png

圖6  智能決策輸出


圖片7.png

圖7  智能處置建議


2、攻擊鏈可視化還原


平臺擁有強大的全鏈路還原能力,能夠將攻擊路徑可視化呈現,清晰展示攻擊者從外部發起的多階段攻擊過程。通過這種直觀的展示方式,安全人員可以全面了解攻擊者的行動軌跡和手法,為后續的安全防護和事件分析提供有力支持。


圖片8.png

圖8  攻擊鏈還原


3、自動化響應閉環


平臺構建了完善的自動化響應體系,根據研判結果自動推薦相應的劇本。在此次事件中,針對Tomcat_PUT_Request_RCE_CVE-2025-24813攻擊,系統推薦了告警封禁劇本。同時,平臺還提供一鍵封禁功能,可根據告警ID迅速變更告警狀態,并及時發送釘釘通知相關安全人員,實現對攻擊的快速響應和處理。


圖片9.png

圖9  自動化響應


實戰化運營提效成果


本次事件中,安星智能體顯著提升了安全運營的實戰化效能,主要體現在:


一是研判效率顯著提升。AI智能研判引擎大幅降低了平臺誤報率達92%。安全人員得以從海量誤報中解放,將精力集中于真實威脅,極大提升了安全運維效率。


二是運營成本有效優化。一方面節約人力成本。誤報率驟降大幅減少了人力浪費。安全人員無需再頻繁處理無意義的告警,將時間投入更具價值的策略優化與漏洞排等工作;另一方面降低服務依賴性。自動化響應與智能研判減少了對復雜人工干預及外部安全服務的依賴,有效控制了外部服務成本。此外,避免業務中斷損失。精準的威脅檢測與防御有效規避了因安全事件導致的業務中斷風險,節省了潛在資金損失。


三是實戰價值充分驗證。在實戰中,平臺成功攔截針對Apache Tomcat RCE漏洞(CVE-2025-24813)的定向攻擊,切實保障了業務連續性。此類攻擊一旦得逞,可能導致客戶信息泄露、資金被盜等嚴重后果。平臺憑借其強大的AI能力,及時識別并阻斷了攻擊,有力保護了機構核心資產與客戶敏感數據。

上一篇