排查CVE-2023-50164漏洞利用活動

使用SHC-Update漏洞數據訂閱分析工具，提取CVE-2023-50164漏洞公開信息。

目前CVE-2023-50164漏洞已經公開，但尚未在網上出現POC（Proof of Concept）。使用復雜之眼EDR來提前檢測終端機器，以確定是否受到CVE-2023-50164漏洞攻擊而導致終端失陷。通過漏洞詳情可以看出，該漏洞需要上傳惡意webshell，并連接webshell管理工具進行遠程代碼執行。

影響版本[  "Apache Struts 2.5.32",  "Apache Struts 6.3.0.1"]

結合時間線進行排查

漏洞創建時間:2023-12-04 9:30:29漏洞披露時間:2023-12-07 9:15:07漏洞修改時間:2023-12-07 21:30:28

根據客戶的生產環境所使用的web服務組件不同和安裝目錄有變化，下面是排查示例meql語句，語句意思是搜索關于\\Tomcat 9.0\webapps\\目錄下是否有可疑命令執行行為，一般是webshell客戶端連接產生的行為，排查時間選擇可以根據漏洞公開時間進行提前排查，客戶組織機構可以選擇所有部署完復雜之眼EDR的機器全網排查。

檢索異常的命令執行活動

ProcessCommandLine IN Contains ("\\Tomcat 9.0\webapps\\", "ipconfig", "whoami", "net user") AND ProcessParentName Contains "cmd.exe"