Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)EXP公开,黑客攻击即将到来,腾讯安全全面检测

2020-11-05 14:21:39
2020年7月14日,Apache官方通报Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并发布安全更新。2020年11月5日,腾讯安全团队注意到该漏洞的利用代码(EXP)已在互联网上公开。

漏洞描述:

2020年7月14日,Apache官方通报Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并发布安全更新。

 

2020年11月5日,腾讯安全团队注意到该漏洞的利用代码(EXP)已在互联网上公开。这意味着,黑客的攻击即将到来,腾讯安全专家建议受影响的用户尽快升级安装到安全版本,腾讯主机安全(云镜)、腾讯云防火墙、腾讯高级威胁检测系统(云镜)已支持检测、防御该漏洞的攻击利用。

 

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。

 

漏洞详情:

CVE-2020-13934Apache Tomcat HTTP / 2拒绝服务,漏洞等级为中等;

 

h2c直接连接未在发布后释放HTTP / 1.1处理器升级到HTTP / 2。如果有足够数量的此类请求,发生OutOfMemoryException可能导致拒绝服务。

 

CVE-2020-13935WebSocket拒绝服务漏洞,漏洞等级为重要。

 

Apache Tomcat WebSocket帧中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,多有效负载长度无效的请求可能会导致拒绝服务。

 

受影响的版本:

Apache Tomcat 10.0.0-M1~10.0.0-M6

Apache Tomcat 9.0.0.M1~9.0.36

Apache Tomcat 8.5.0~8.5.56

Apache Tomcat 7.0.27~7.0.104

 

漏洞修复方案:

-升级到Apache Tomcat 10.0.0-M7+

-升级到Apache Tomcat 9.0.37+

-升级到Apache Tomcat 8.5.57+

 

漏洞验证:

腾讯安全团队对网上泄露的EXP进行验证,向目标服务器发送精心构造的恶意请求之后,服务器负载骤增到99%以上。

 

腾讯安全解决方案:

1.腾讯T-Sec主机安全(云镜)漏洞库日期2020-7-15之后的版本,已支持对Apache Tomcat WebSocket拒绝服务漏洞的检测。腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

 

2.腾讯T-Sec云防火墙规则库日期2020-11-05之后的版本,已支持对Apache Tomcat WebSocket拒绝服务漏洞的检测和拦截,该版本正灰度上线,所有用户同步后将获得对该漏洞的检测拦截能力。腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。


3.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-11-06之后的版本,已支持对Apache Tomcat WebSocket拒绝服务漏洞利用的攻击检测。该版本正灰度上线,所有用户同步后将获得对该漏洞利用的检测能力。


欢迎扫描识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。



 

时间线:

2020714日,Apache官方发布Apache Tomcat 拒绝服务漏洞安全公告;

2020715日,腾讯安全发布漏洞风险警告,同时,腾讯T-Sec主机安全(云镜)提供Apache Tomcat 拒绝服务漏洞检测支持;

2020115日,Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)EXP(漏洞利用代码)公开;

2020116日,腾讯安全第二次响应,腾讯T-Sec云防火墙、腾讯T-Sec高级威胁检测系统(御界)提供针对该漏洞的检测和防御支持。

 

参考资料:

https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/

最新资讯