使用SHC-Update漏洞数据订阅分析工具,提取CVE-2023-50164漏洞公开信息。
目前CVE-2023-50164漏洞已经公开,但尚未在网上出现POC(Proof of Concept)。使用复杂之眼EDR来提前检测终端机器,以确定是否受到CVE-2023-50164漏洞攻击而导致终端失陷。通过漏洞详情可以看出,该漏洞需要上传恶意webshell,并连接webshell管理工具进行远程代码执行。
影响版本
[
"Apache Struts 2.5.32",
"Apache Struts 6.3.0.1"
]
结合时间线进行排查
漏洞创建时间:2023-12-04 9:30:29
漏洞披露时间:2023-12-07 9:15:07
漏洞修改时间:2023-12-07 21:30:28
根据客户的生产环境所使用的web服务组件不同和安装目录有变化,下面是排查示例meql语句,语句意思是搜索关于\\Tomcat 9.0\webapps\\目录下是否有可疑命令执行行为,一般是webshell客户端连接产生的行为,排查时间选择可以根据漏洞公开时间进行提前排查,客户组织机构可以选择所有部署完复杂之眼EDR的机器全网排查。
检索异常的命令执行活动
ProcessCommandLine IN Contains ("\\Tomcat 9.0\webapps\\", "ipconfig", "whoami", "net user") AND ProcessParentName Contains "cmd.exe"