Ghostcat, уязвимостта в Tomcat, която може да замени кода

призрачна котка

Пуснаха изследователи от Chaitin Tech, Китай информация за ново откритие, както те са идентифицирали уязвимост в популярния контейнер за сървлети (Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket) Apache tomcat (вече е посочен като CVE-2020-1938).

Тази уязвимост им беше присвоено кодовото име "Ghostcat" и критично ниво на тежест (9.8 CVSS). Проблемът позволява в конфигурацията по подразбиране да изпраща заявка чрез мрежов порт 8009 за да прочетете съдържанието на всеки файл в директорията на уеб приложението, включително изходни кодове на приложения и конфигурационни файлове.

Уязвимостта също така позволява импортиране на други файлове в кода на приложението, което позволява организира изпълнението на кода на сървъра, ако приложението позволява качване на файлове на сървъра.

Например, дали приложението за уебсайт позволява на потребителите да качват файлове, нападателят може да атакува първи файл, съдържащ код на JSP скрипт злонамерен на сървъра (самият качен файл може да бъде всеки тип файл, като изображения, обикновени текстови файлове и т.н.) и след това включете качения файл, като използвате уязвимостта от Ghostcat, което в крайна сметка може да доведе до дистанционно изпълнение на код.

Също така се споменава, че може да се извърши атака, ако е възможно да се изпрати заявка до мрежов порт с AJP драйвер. По предварителни данни, мрежата е намерена повече от 1.2 милиона хоста, приемащи заявки, използващи протокола AJP.

Уязвимостта присъства в протокола AJP и не е причинено от грешка при изпълнението.

В допълнение към приемането на HTTP връзки (порт 8080) в Apache Tomcat, по подразбиране е възможен достъп към уеб приложението използвайки протокола AJP (Apache Jserv Protocol, порт 8009), който е двоичен аналог на HTTP, оптимизиран за по-висока производителност, обикновено се използва при създаване на клъстер от Tomcat сървъри или за ускоряване на взаимодействието с Tomcat на обратен прокси или балансиращ товар.

AJP предоставя стандартна функция за достъп до файлове на сървъра, които могат да се използват, включително получаване на файлове, които не подлежат на разкриване.

Разбира се, че достъпът до AJP е отворен само за доверени служителино всъщност в конфигурацията по подразбиране на Tomcat драйверът беше стартиран на всички мрежови интерфейси и заявките бяха приети без удостоверяване.

Възможен е достъп до всеки файл в уеб приложението, включително съдържанието на WEB-INF, META-INF и всяка друга директория, върната чрез извикване на ServletContext.getResourceAsStream (). AJP също ви позволява да използвате всеки файл в директориите, достъпни за уеб приложение, като JSP скрипт.

Проблемът е очевиден от пускането на клона Tomcat 6.x преди 13 години. В допълнение към самия Tomcat, проблемът засяга и продуктите, които го използват, като Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), както и самостоятелни уеб приложения, използващи Spring Boot.

също беше открита подобна уязвимост (CVE-2020-1745) на уеб сървъра на Undertow използва се в сървъра за приложения на Wildfly. В момента различни групи са подготвили повече от дузина работни примери за подвизи.

Apache Tomcat официално пусна версии 9.0.31, 8.5.51 и 7.0.100 за да коригирате тази уязвимост. За да коригирате правилно тази уязвимост, първо трябва да определите дали услугата Tomcat AJP Connector се използва във вашата сървърна среда:

  • Ако не се използва клъстер или обратен прокси, можете основно да определите, че AJP не се използва.
  •  Ако не, трябва да разберете дали клъстерът или обратният сървър комуникират с услугата Tomcat AJP Connect

Също така се споменава, че актуализациите вече са налични в различните дистрибуции на Linux като: Debian, Ubuntu, RHEL, Fedora, SUSE.

Като заобиколно решение можете да деактивирате услугата Tomcat AJP Connector (свържете сокета за слушане към localhost или да коментирате линията с порт Connector = »8009 ″), ако не се изисква, или да конфигурирате удостоверен достъп.

Ако искате да научите повече за това, можете да се консултирате следната връзка. 


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.