Ghostcat, a vulnerabilità in Tomcat chì pò rimpiazzà u codice

gattu fantasma

I ricercatori di Chaitin Tech, Cina liberati infurmazioni nantu à una nova scuperta, cume anu identificatu una vulnerabilità in u popular container di servlet (Servlet Java, Pagine JavaServer, Java Expression Language è Java WebSocket) Apache tomcat (digià listatu cum'è CVE-2020-1938).

Questa vulnerabilità sò stati assignati u nome di codice "Ghostcat" è un livellu di severità critica (9.8 CVSS). U prublema permette in a cunfigurazione predefinita di mandà una dumanda attraversu u portu di rete 8009 per leghje u cuntenutu di qualsiasi fugliale in u cartulare di l'applicazione web, cumprendu i codici surghjenti di l'applicazione è i fugliali di cunfigurazione.

A vulnerabilità permette ancu importà altri fugliali in u codice di l'applicazione, chì permette urganizà l'esekuzione di codice nantu à u servitore se l'applicazione permette à i file di esse caricati in u servitore.

Per esempiu, sì l'applicazione di u situ web permette à l'utenti di caricare file, un attaccu pò carica primu un schedariu chì cuntene u codice di scrittura JSP maliziosu nantu à u servitore (u schedariu caricatu stessu pò esse qualsiasi tipu di fugliale, cum'è imaghjini, fugliali di testu chjaru, etc.) è dopu includite u fugliale caricatu sfruttendu a vulnerabilità da Ghostcat, chì pò infine resultà in esecuzione di codice à distanza.

Hè ancu citatu chì un attaccu pò esse effettuatu se hè pussibile invià una dumanda à un portu di rete cun un driver AJP. Sicondu i dati preliminari, a reta truvata più di 1.2 milioni d'ospiti chì accettanu richieste cù u protocolu AJP.

A vulnerabilità hè presente in u protocolu AJP è ùn hè micca causatu da un errore di implementazione.

In più di accettà cunnessioni HTTP (portu 8080) in Apache Tomcat, per difettu hè pussibule accede à l'applicazione web aduprendu u protocolu AJP (Protocollu Apache Jserv, portu 8009), chì hè un analogu binariu di HTTP ottimizatu per prestazioni superiori, generalmente adupratu quandu si crea un cluster da servitori Tomcat o per accelerà l'interazione cù Tomcat in un proxy inversu o equilibratore di carica.

AJP furnisce una funzione standard per accede à i fugliali in u servitore, chì pò esse adupratu, cumprese a ricezione di fugliali chì ùn sò micca sughjetti à divulgazione.

Si capisce chì l'accessu à AJP hè apertu solu à i servitori di fiduciama in fattu, in a cunfigurazione predefinita Tomcat, u driver hè statu lanciatu nantu à tutte l'interfaccia di rete è e richieste sò state accettate senza autentificazione.

L'accessu hè pussibule à qualsiasi fugliale in l'applicazione web, cumpresu u cuntenutu di WEB-INF, META-INF, è qualsiasi altru repertoriu restituitu per mezu di a chjama ServletContext.getResourceAsStream (). AJP permette ancu di utilizà qualsiasi fugliale in i repertorii dispunibili per una applicazione web cum'è script JSP.

U prublema hè statu evidenti dapoi chì a filiale Tomcat 6.x hè stata liberata 13 anni fà. In più di Tomcat stessu, u prublema tocca ancu à i prudutti chì l'utilizanu, cum'è Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), è ancu applicazioni web standalone chì utilizanu Spring Boot.

dinù una vulnerabilità simile hè stata trovata (CVE-2020-1745) nantu à u servore web Undertow adupratu in u servitore d'applicazione Wildfly. Attualmente, vari gruppi anu preparatu più di una decina di esempi di travagliu di sfruttamenti.

Apache Tomcat hà publicatu ufficialmente e versioni 9.0.31, 8.5.51 è 7.0.100 per curregge sta vulnerabilità. Per curregge sta vulnerabilità currettamente, bisogna prima determinà se u serviziu Tomcat AJP Connector hè adupratu in u vostru ambiente di servitore:

  • Se u cluster o u proxy inversu ùn sò micca usati, pudete basicamente determinà chì AJP ùn hè micca adupratu.
  •  Se no, avete bisognu di sapè se u cluster o u servitore inversu cumunicanu cù u serviziu Tomcat AJP Connect

Si cita ancu chì L'aghjurnamenti sò avà dispunibuli in e diverse distribuzioni Linux cum'è: Debian, Ubuntu, RHEL, Fedora, SUSE.

Cum'è una soluzione, pudete disattivà u serviziu di Connettore Tomcat AJP (ligà a presa d'ascoltu à localhost o cummentà a linea cù u portu di Connettore = »8009 ″), se micca necessariu, o configurà l'accessu autenticatu.

Se vulete sapè di più nantu à questu pudete cunsultà u ligame seguente. 


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

bool (veru)