Objavljeni istraživači iz Chaitin Tech-a, Kina informacije o novom otkriću, kako su ih prepoznali ranjivost u popularnom spremniku servleta (Java Servlet, JavaServer Pages, Java Expression Language i Java WebSocket) Apache tomcat (već navedeno kao CVE-2020-1938).
Ova ranjivost dodijeljeno im je kodno ime "Ghostcat" i kritični nivo ozbiljnosti (9.8 CVSS). Problem omogućava u zadanoj konfiguraciji slanje zahtjeva putem mrežnog porta 8009 za čitanje sadržaja bilo koje datoteke u direktoriju web aplikacija, uključujući izvorne kodove aplikacija i konfiguracijske datoteke.
Ranjivost također omogućava uvoz drugih datoteka u kod aplikacije, što omogućava organizirati izvršavanje koda na serveru ako aplikacija omogućava prijenos datoteka na server.
Na primjer, da li aplikacija web lokacije omogućava korisnicima da prenose datoteke, napadač može napasti primero datoteka koja sadrži JSP kod skripte zlonamjerni na serveru (sama prenesena datoteka može biti bilo koje vrste datoteka, poput slika, datoteka s običnim tekstom itd.) a zatim uključenu datoteku uključite iskorištavanjem ranjivosti iz Ghostcat-a, što na kraju može rezultirati daljinskim izvršavanjem koda.
Također se spominje da se napad može izvesti ako je moguće poslati zahtjev na mrežni port s AJP upravljačkim programom. Prema preliminarnim podacima, pronađena mreža više od 1.2 miliona hostova prihvata zahtjeve koristeći AJP protokol.
Ranjivost je prisutna u AJP protokolu a nije uzrokovana greškom u implementaciji.
Pored prihvaćanja HTTP veza (port 8080) u Apache Tomcat, prema zadanim postavkama moguće je pristupiti na web aplikaciju koristeći AJP protokol (Apache Jserv Protocol, port 8009), koji je binarni analog HTTP-a optimiziran za veće performanse, obično se koristi pri stvaranju klastera od Tomcat poslužitelja ili za ubrzavanje interakcije s Tomcatom na obrnutom proxyju ili uravnoteživaču opterećenja.
AJP pruža standardnu funkciju za pristup datotekama na serveru, koji se mogu koristiti, uključujući prijem datoteka koje ne podliježu otkrivanju.
Podrazumijeva se da pristup AJP je otvoren samo za pouzdane slugeali zapravo, u zadanoj Tomcat konfiguraciji pokretački program je pokrenut na svim mrežnim sučeljima i zahtjevi su prihvaćeni bez provjere autentičnosti.
Pristup je moguć bilo kojoj datoteci u web aplikaciji, uključujući sadržaj WEB-INF, META-INF i bilo koji drugi direktorij vraćen putem poziva ServletContext.getResourceAsStream (). AJP vam takođe omogućava da bilo koju datoteku u direktorijima dostupnim web aplikaciji koristite kao JSP skriptu.
Problem je očit otkako je puštena grana Tomcat 6.x prije 13 godina. Pored samog Tomcata, problem utječe i na proizvode koji ga koriste, poput Red Hat JBoss web servera (JWS), JBoss Enterprise Application Platform (EAP), kao i samostalne web aplikacije koje koriste Spring Boot.
Takođe pronađena je slična ranjivost (CVE-2020-1745) na web serveru Undertow koristi se na poslužitelju aplikacija Wildfly. Trenutno su razne grupe pripremile više od desetak radnih primjera eksploatacije.
Apache Tomcat je službeno objavio verzije 9.0.31, 8.5.51 i 7.0.100 da ispravi ovu ranjivost. Da biste ispravno ispravili ovu ranjivost, prvo morate utvrditi koristi li se usluga Tomcat AJP Connector u vašem poslužiteljskom okruženju:
- Ako se ne koristi klaster ili obrnuti proxy, u osnovi se može utvrditi da se AJP ne koristi.
- Ako nije, trebate saznati komunicira li klaster ili obrnuti poslužitelj s uslugom Tomcat AJP Connect
Takođe se spominje da Ažuriranja su sada dostupna u različitim Linux distribucijama poput: Debian, Ubuntu, RHEL, Fedora, SUSE.
Kao zaobilazno rješenje možete onemogućiti uslugu Tomcat AJP Connector (povezati utičnicu za slušanje na localhost ili prokomentirati liniju s Connector port = »8009 ″), ako nije potrebno, ili konfigurirati ovjereni pristup.
Ako želite znati više o tome, možete se posavjetovati sljedeći link.