Tomcat 漏洞全景：从 CVE-2017-12615 到 CVE-2020-1938，看黑客如何攻破你的服务器

前言

Tomcat 是 Apache 软件基金会开发的一款流行的开源 Web 应用程序服务器，以其稳定、高性能和可扩展性而闻名。然而，像任何软件一样，Tomcat 也难免存在安全漏洞。近年来，Tomcat 中发现的两个漏洞——CVE-2017-12615 和 CVE-2020-1938——引起了广泛关注，因为它们可能允许攻击者远程控制受影响的服务器。

在这篇全面的分析中，我们将深入探讨这两个漏洞的原理、影响和利用方式，并提供切实可行的防御策略，帮助您保护您的服务器免遭攻击。

CVE-2017-12615：远程代码执行漏洞

CVE-2017-12615 漏洞是一个远程代码执行漏洞，它存在于 Tomcat 的文件上传功能中。该漏洞允许攻击者在未经授权的情况下上传恶意文件到服务器，并执行任意代码。这可能导致攻击者完全控制受影响的服务器，从而窃取数据、破坏系统或安装恶意软件。

漏洞原理

CVE-2017-12615 漏洞的根本原因在于 Tomcat 文件上传功能在处理上传文件时，没有正确验证文件类型和内容。攻击者可以利用此漏洞上传特制的恶意文件，绕过服务器的安全检查，并执行任意代码。

漏洞影响

CVE-2017-12615 漏洞影响所有未打补丁的 Tomcat 服务器。攻击者可以利用此漏洞远程控制受影响的服务器，从而窃取数据、破坏系统或安装恶意软件。

漏洞利用方式

攻击者可以利用 CVE-2017-12615 漏洞通过以下步骤发动攻击：

1. 发现并识别易受攻击的 Tomcat 服务器。
2. 创建特制的恶意文件，并将其上传到服务器。
3. 利用恶意文件在服务器上执行任意代码。

CVE-2020-1938：弱口令 & 后台 war 部署

CVE-2020-1938 漏洞是一个弱口令和后台 war 部署漏洞，它存在于 Tomcat 的 Manager App 中。该漏洞允许攻击者在未经授权的情况下登录 Manager App，并部署恶意 war 文件。这可能导致攻击者完全控制受影响的服务器，从而窃取数据、破坏系统或安装恶意软件。

漏洞原理

CVE-2020-1938 漏洞的根本原因在于 Tomcat Manager App 在默认情况下使用弱口令，并且允许匿名用户部署 war 文件。攻击者可以利用此漏洞猜测或暴力破解 Manager App 的弱口令，然后部署恶意 war 文件。

漏洞影响

CVE-2020-1938 漏洞影响所有未打补丁的 Tomcat 服务器。攻击者可以利用此漏洞远程控制受影响的服务器，从而窃取数据、破坏系统或安装恶意软件。

漏洞利用方式

攻击者可以利用 CVE-2020-1938 漏洞通过以下步骤发动攻击：

1. 发现并识别易受攻击的 Tomcat 服务器。
2. 猜测或暴力破解 Manager App 的弱口令。
3. 登录 Manager App 并部署恶意 war 文件。

防御策略

为了保护您的服务器免受 CVE-2017-12615 和 CVE-2020-1938 漏洞的攻击，您可以采取以下防御策略：

1. 及时更新 Tomcat 服务器。Tomcat 官方已经发布了修复这两个漏洞的补丁。请务必及时更新您的 Tomcat 服务器，以消除安全风险。
2. 启用双因子认证。在 Manager App 中启用双因子认证，以防止攻击者猜测或暴力破解您的密码。
3. 禁用 Manager App。如果您不使用 Manager App，请将其禁用，以消除安全风险。
4. 使用防火墙和入侵检测系统。使用防火墙和入侵检测系统可以帮助您检测和阻止针对 Tomcat 服务器的攻击。
5. 定期扫描漏洞。定期扫描您的 Tomcat 服务器，以发现并修复任何潜在的安全漏洞。

结语

CVE-2017-12615 和 CVE-2020-1938 漏洞是两个严重的 Tomcat 服务器漏洞。攻击者可以利用这些漏洞远程控制受影响的服务器，从而窃取数据、破坏系统或安装恶意软件。为了保护您的服务器免遭攻击，请务必及时更新 Tomcat 服务器，启用双因子认证，禁用 Manager App，使用防火墙和入侵检测系统，并定期扫描漏洞。