Vydali vědci z Chaitin Tech v Číně informace o novém objevu, jak ho identifikovali chyba zabezpečení v oblíbeném kontejneru servletů (Java Servlet, JavaServer Pages, Java Expression Language a Java WebSocket) Apache tomcat (již uveden jako CVE-2020-1938).
Tato chyba zabezpečení bylo jim přiděleno krycí jméno „Ghostcat“ a úroveň kritické závažnosti (9.8 CVSS). Problém umožňuje ve výchozí konfiguraci odeslat požadavek přes síťový port 8009 číst obsah libovolného souboru v adresáři webové aplikace, včetně zdrojových kódů aplikací a konfiguračních souborů.
Tato chyba zabezpečení umožňuje také import dalších souborů do kódu aplikace, což dovoluje organizovat provádění kódu na serveru, pokud aplikace umožňuje nahrávání souborů na server.
Například, zda webová aplikace umožňuje uživatelům nahrávat soubory, útočník může účtovat první soubor obsahující kód skriptu JSP škodlivý na serveru (samotný nahraný soubor může být jakýkoli typ souboru, například obrázky, soubory ve formátu prostého textu atd.) a poté zahrnout nahraný soubor využitím této chyby zabezpečení od Ghostcat, což může nakonec vyústit ve vzdálené spuštění kódu.
Je také uvedeno, že lze provést útok, pokud je možné odeslat požadavek na síťový port s ovladačem AJP. Podle předběžných údajůbyla nalezena síť více než 1.2 milionu hostitelů přijímajících požadavky pomocí protokolu AJP.
Chyba zabezpečení je přítomna v protokolu AJP a není to způsobeno chybou implementace.
Kromě přijímání připojení HTTP (port 8080) v Apache Tomcat, ve výchozím nastavení je možný přístup do webové aplikace pomocí protokolu AJP (Apache Jserv Protocol, port 8009), což je binární analogový protokol HTTP optimalizovaný pro vyšší výkon, obvykle používaný při vytváření klastru ze serverů Tomcat nebo k urychlení interakce s Tomcat na reverzním proxy serveru nebo nástroji pro vyrovnávání zatížení.
AJP poskytuje standardní funkci pro přístup k souborům na serveru, které lze použít, včetně přijímání souborů, které nepodléhají zveřejnění.
Rozumí se, že přístup k AJP je otevřen pouze důvěryhodným zaměstnancůmale ve skutečnosti byl ve výchozí konfiguraci Tomcat ovladač spuštěn na všech síťových rozhraních a požadavky byly přijímány bez ověřování.
Je možný přístup k jakémukoli souboru ve webové aplikaci, včetně obsahu WEB-INF, META-INF a jakéhokoli jiného adresáře vráceného prostřednictvím volání ServletContext.getResourceAsStream (). AJP také umožňuje použít libovolný soubor v adresářích dostupných webové aplikaci jako skript JSP.
Problém je zřejmý od vydání pobočky Tomcat 6.x před 13 lety. Kromě samotného Tomcata problém se týká také produktů, které jej používají, jako je Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), stejně jako samostatné webové aplikace, které používají Spring Boot.
také byla nalezena podobná zranitelnost (CVE-2020-1745) na webovém serveru Undertow použitý na aplikačním serveru Wildfly. V současné době různé skupiny připravily více než tucet pracovních příkladů exploitů.
Apache Tomcat oficiálně vydal verze 9.0.31, 8.5.51 a 7.0.100 tuto chybu zabezpečení opravit. Tuto chybu zabezpečení opravit správně, musíte nejprve určit, zda se ve vašem serverovém prostředí používá služba Tomcat AJP Connector:
- Pokud se nepoužívá clusterový nebo reverzní proxy server, lze v zásadě určit, že AJP se nepoužívá.
- Pokud ne, musíte zjistit, zda clusterový nebo reverzní server komunikuje se službou Tomcat AJP Connect
To je také uvedeno aktualizace jsou nyní k dispozici v různých distribucích Linuxu jako: Debian, Ubuntu, RHEL, Fedora, SUSE.
Jako řešení můžete deaktivovat službu Tomcat AJP Connector (svázat naslouchací soket s localhostem nebo komentovat linku s portem Connector = »8009 ″), pokud to není nutné, nebo nakonfigurovat ověřený přístup.
Pokud se o tom chcete dozvědět více, můžete se poradit následující odkaz.