早报内容速览
1. 高性能开源CFML应用服务器Lucee曝出严重安全漏洞CVE-2025-34074,CVSS评分高达9.4,认证管理员可滥用计划任务功能执行任意远程代码,Metasploit模块已公开。
2. 帕洛阿尔托网络公司Unit 42团队报告显示,针对Apache Tomcat和Apache Camel关键漏洞CVE-2025-24813、CVE-2025-27636与CVE-2025-29891的网络攻击激增,2025年3月记录了来自70余个国家的125,856次扫描探测与漏洞利用尝试 。
高危Lucee漏洞通过计划任务滥用实现认证RCE,Metasploit模块已公开
近日,高性能开源CFML(ColdFusion Markup Language)应用服务器Lucee被披露存在严重安全漏洞,编号为CVE-2025-34074,CVSS评分高达9.4,属于高危漏洞。该漏洞允许已认证的管理员通过滥用Lucee的计划任务功能,实现任意远程代码执行。
Lucee凭借其对Java集成、HTTP、ORM和动态脚本的支持,被众多开发者用于构建可扩展的高速应用程序。然而,此次漏洞存在于Lucee管理界面的计划任务处理机制中。拥有 /lucee/admin/web.cfm 访问权限的认证用户,能够配置任务从攻击者控制的服务器获取远程 .cfm 文件(CFML脚本)。Lucee会自动将获取到的文件写入其webroot目录,并以Lucee服务器进程的完整权限执行该脚本 。
根据CVE描述,“由于Lucee未对计划任务获取实施完整性检查、路径限制或执行控制,该功能可被滥用以实现任意代码执行”。这意味着,攻击者一旦通过暴力破解、钓鱼攻击、内部人员泄露或使用先前泄露的凭据获取管理员权限,就能轻松利用该漏洞部署恶意负载,从而完全控制服务器。
更为严峻的是,目前该漏洞的Metasploit模块已经公开发布。这使得攻击者无需具备高超的技术能力,就能利用该模块发起攻击,大大降低了攻击门槛,增加了Lucee服务器遭受攻击的风险。
鉴于Lucee广泛应用于企业和政府系统,安全专家建议相关组织立即采取防范措施,如通过IP白名单或VPN限制Lucee管理界面的访问,审计所有现有计划任务以排查可疑的远程文件拉取行为,密切监控webroot目录的文件变更(特别是异常的.cfm文件),并及时应用Lucee开发团队发布的补丁或热修复程序,以降低安全风险,避免遭受攻击导致的数据泄露、业务中断等严重后果。
Apache组件遭大规模攻击:Tomcat与Camel高危RCE漏洞引发数千次利用尝试
帕洛阿尔托网络公司Unit 42团队的最新研究。报告显示,针对Apache Tomcat和Apache Camel关键漏洞的网络攻击正在全球范围内大规模激增。2025年3月披露的三个远程代码执行(RCE)漏洞,分别为CVE-2025-24813(Tomcat)、CVE-2025-27636与CVE-2025-29891(Camel),为攻击者提供了劫持系统的直接途径。
报告特别强调,成功利用这些漏洞可使攻击者以Tomcat/Camel权限执行任意代码。监测数据显示,仅在2025年3月,就记录到来自70余个国家的125,856次扫描探测与漏洞利用尝试。
Tomcat漏洞机制及攻击过程
当启用部分PUT请求和会话持久化功能时,用于运行Java Web应用的Apache Tomcat(9.0.0.M1至9.0.98、10.1.0-M1至10.1.34及11.0.0-M1至11.0.2版本)存在HTTP PUT请求处理缺陷。攻击者利用该缺陷,可通过以下两个阶段实施攻击:
1. 载荷投递:攻击者通过HTTP PUT请求上传伪装成 .session 文件的序列化恶意对象。
2. 触发执行:攻击者精心构造包含 JSESSIONID=.(文件名) 的HTTP GET请求,诱使Tomcat对恶意对象进行反序列化,从而触发恶意代码执行。
Apache Camel漏洞原理
Apache Camel存在漏洞是因为其HTTP头部过滤机制存在大小写敏感缺陷。攻击者可利用这一缺陷,通过发送畸形头部注入恶意命令。例如,由于未有效拦截诸如“CAmelExecCommandExecutable”等变体头部,导致远程命令执行漏洞的产生。
缓解措施与建议
针对上述情况,Unit 42提出了关键缓解措施,包括对Camel进行严格的HTTP头部输入校验和净化;使用专业工具检测默认会话名滥用和可疑的Content-Range头部。安全团队还观察到,大量针对Tomcat的漏洞利用尝试与开源工具Nuclei Scanner的模板高度相似,这使得攻击门槛显著降低。
目前,相关补丁已发布,使用受影响组件的组织应立即进行更新,以防范攻击,保障系统安全 。