Kiinan Chaitin Techin tutkijat julkaisivat tietoa uudesta löydöstä, kuten he ovat tunnistaneet haavoittuvuus suositussa servlet-pakkauksessa (Java Servlet, JavaServer Pages, Java Expression Language ja Java WebSocket) Apache tomcat (lueteltu jo nimellä CVE-2020-1938).
Tämä haavoittuvuus heille annettiin koodinimi "Ghostcat" ja kriittinen vakavuusaste (9.8 CVSS). Ongelma sallii oletusasetuksissa lähettää pyynnön verkkoportin 8009 kautta lukea minkä tahansa verkkosovellushakemistossa olevan tiedoston sisältö, mukaan lukien sovelluksen lähdekoodit ja määritystiedostot.
Haavoittuvuus mahdollistaa myös muiden tiedostojen tuomisen sovelluskoodiin, mikä sallii järjestää koodin suorittaminen palvelimella, jos sovellus sallii tiedostojen lataamisen palvelimelle.
Esimerkiksi, antaa verkkosivustosovellus käyttäjien ladata tiedostoja, hyökkääjä voi ladata ensimmäinen tiedosto, joka sisältää JSP-komentosarjakoodin haitallinen palvelimella (itse lähetetty tiedosto voi olla minkä tahansa tyyppinen tiedosto, kuten kuvat, pelkkätekstitiedostot) ja sisällytä sitten ladattu tiedosto hyödyntämällä haavoittuvuutta Ghostcatilta, mikä voi viime kädessä johtaa koodin etäsuorittamiseen.
Mainitaan myös, että hyökkäys voidaan suorittaa, jos on mahdollista lähettää pyyntö verkkoporttiin AJP-ohjaimen kanssa. Alustavien tietojen mukaan, verkko löytyi yli 1.2 miljoonaa isäntää hyväksyy pyynnöt AJP-protokollan avulla.
Haavoittuvuus esiintyy AJP-protokollassa eikä se johdu toteutusvirheestä.
HTTP-yhteyksien hyväksymisen lisäksi (portti 8080) Apache Tomcatissa oletuksena on mahdollista päästä verkkosovellukseen käyttämällä AJP-protokollaa (Apache Jserv Protocol, portti 8009), joka on HTTP: n binaarinen analogi, joka on optimoitu korkeampaan suorituskykyyn, käytetään yleensä luodessaan klusteria Tomcat-palvelimilta tai nopeuttaaksemme vuorovaikutusta Tomcatin kanssa käänteisessä välityspalvelimessa tai kuormituksen tasapainottimessa.
AJP tarjoaa vakiotoiminnon palvelimen tiedostojen käyttämiseen, joita voidaan käyttää, mukaan lukien sellaisten tiedostojen vastaanottaminen, joita ei paljasteta.
On selvää, että pääsy AJP on avoin vain luotettaville palvelijoillemutta itse asiassa Tomcatin oletusasetuksissa ohjain käynnistettiin kaikissa verkkoliitännöissä ja pyynnöt hyväksyttiin ilman todennusta.
Pääsy on mahdollista mihin tahansa verkkosovelluksen tiedostoon, mukaan lukien WEB-INF, META-INF ja kaikki muut ServletContext.getResourceAsStream () -puhelun kautta palautetut hakemistot. AJP: n avulla voit myös käyttää mitä tahansa tiedostoa hakemistoissa, jotka ovat verkkosovelluksen käytettävissä JSP-skripteinä.
Ongelma on ollut ilmeinen siitä lähtien, kun Tomcat 6.x -haara julkaistiin 13 vuotta sitten. Tomcatin itsensä lisäksi ongelma vaikuttaa myös sitä käyttäviin tuotteisiin, kuten Red Hat JBoss -verkkopalvelin (JWS), JBoss Enterprise Application Platform (EAP) sekä Spring Bootia käyttävät erilliset verkkosovellukset.
myös samanlainen haavoittuvuus havaittiin (CVE-2020-1745) Undertow-verkkopalvelimessa käytetään Wildfly-sovelluspalvelimessa. Tällä hetkellä eri ryhmät ovat valmistaneet yli tusinan toimivaa esimerkkiä hyödyntämisestä.
Apache Tomcat on virallisesti julkaissut versiot 9.0.31, 8.5.51 ja 7.0.100 korjata tämä haavoittuvuus. Korjaa tämä heikkous oikein, sinun on ensin määritettävä, käytetäänkö Tomcat AJP Connector -palvelua palvelinympäristössäsi:
- Jos klusteria tai käänteistä välityspalvelinta ei käytetä, voidaan periaatteessa määrittää, että AJP: tä ei käytetä.
- Jos ei, sinun on selvitettävä, onko klusteri vai käänteispalvelin yhteydessä Tomcat AJP Connect -palveluun
Mainitaan myös se päivitykset ovat nyt saatavilla eri Linux-jakeluissa kuten: Debian, Ubuntu, RHEL, Fedora, SUSE.
Voit kiertää kiertämällä Tomcat AJP Connector -palvelun käytöstä (sitomalla kuuntelupisteen paikalliseen isäntään tai kommentoimalla linjan Connector-portilla = »8009 ″), jos sitä ei tarvita, tai määrittää todennetun pääsyn.
Jos haluat tietää enemmän siitä, voit kysyä seuraava linkki.