Objavljeni istraživači iz Chaitin Tech, Kina informacije o novom otkriću, kako su ih prepoznali ranjivost u popularnom spremniku servleta (Java Servlet, JavaServer Pages, Java Expression Language i Java WebSocket) Apache tomcat (već navedeno kao CVE-2020-1938).
Ova ranjivost dodijeljeno im je kodno ime "Ghostcat" i kritična razina ozbiljnosti (9.8 CVSS). Problem omogućuje u zadanoj konfiguraciji slanje zahtjeva putem mrežnog priključka 8009 za čitanje sadržaja bilo koje datoteke u direktoriju web aplikacija, uključujući izvorne kodove aplikacija i konfiguracijske datoteke.
Ranjivost također omogućuje uvoz drugih datoteka u aplikacijski kod, što dopušta organizirati izvršavanje koda na poslužitelju ako aplikacija omogućuje prijenos datoteka na poslužitelj.
Na primjer, dopušta li aplikacija web mjesta korisnicima prijenos datoteka, napadač može napasti prvi datoteka koja sadrži JSP kod skripte zlonamjerni na poslužitelju (sama prenesena datoteka može biti bilo koje vrste datoteka, poput slika, datoteka s običnim tekstom itd.) a zatim uključenu datoteku uključite iskorištavanjem ranjivosti iz Ghostcat-a, što u konačnici može rezultirati daljinskim izvršavanjem koda.
Također se spominje da se napad može izvesti ako je moguće poslati zahtjev na mrežni priključak s AJP upravljačkim programom. Prema preliminarnim podacima, pronađena mreža više od 1.2 milijuna domaćina koji prihvaćaju zahtjeve koristeći AJP protokol.
Ranjivost je prisutna u AJP protokolu a nije uzrokovana pogreškom u implementaciji.
Pored prihvaćanja HTTP veza (luka 8080) u Apache Tomcat, prema zadanim postavkama moguće je pristupiti web aplikaciji koristeći AJP protokol (Apache Jserv Protocol, port 8009), koji je binarni analog HTTP-a optimiziran za veće performanse, obično se koristi pri stvaranju klastera od Tomcat poslužitelja ili za ubrzavanje interakcije s Tomcatom na obrnutom proxyju ili uravnoteživaču opterećenja.
AJP pruža standardnu funkciju za pristup datotekama na poslužitelju, koji se mogu koristiti, uključujući primanje datoteka koje ne podliježu otkrivanju.
Podrazumijeva se da pristup AJP je otvoren samo za pouzdane slugeali zapravo, u zadanoj Tomcat konfiguraciji pokretački program je pokrenut na svim mrežnim sučeljima i zahtjevi su prihvaćeni bez provjere autentičnosti.
Pristup je moguć bilo kojoj datoteci u web aplikaciji, uključujući sadržaj WEB-INF, META-INF i bilo koji drugi direktorij vraćen putem poziva ServletContext.getResourceAsStream (). AJP vam također omogućuje upotrebu bilo koje datoteke u direktorijima dostupnim web aplikaciji kao JSP skriptu.
Problem je očit od izdavanja grane Tomcat 6.x prije 13 godina. Pored samog Tomcata, problem utječe i na proizvode koji ga koriste, poput Red Hat JBoss web poslužitelja (JWS), JBoss Enterprise Application Platform (EAP), kao i samostalnih web aplikacija koje koriste Spring Boot.
također pronađena je slična ranjivost (CVE-2020-1745) na web poslužitelju Undertow koristi se na poslužitelju aplikacija Wildfly. Trenutno su razne skupine pripremile više od desetak radnih primjera izraba.
Apache Tomcat službeno je objavio verzije 9.0.31, 8.5.51 i 7.0.100 da ispravi ovu ranjivost. Da biste ispravno ispravili ovu ranjivost, prvo morate utvrditi koristi li se usluga Tomcat AJP Connector u vašem poslužiteljskom okruženju:
- Ako se ne koristi klaster ili obrnuti proxy, u osnovi se može utvrditi da se AJP ne koristi.
- Ako ne, trebate saznati komunicira li klaster ili obrnuti poslužitelj s uslugom Tomcat AJP Connect
Također se spominje da Ažuriranja su sada dostupna u različitim Linux distribucijama poput: Debian, Ubuntu, RHEL, Fedora, SUSE.
Kao zaobilazno rješenje možete onemogućiti uslugu Tomcat AJP Connector (povezati utičnicu za slušanje na localhost ili prokomentirati liniju s Connector port = »8009 ″), ako nije potrebno, ili konfigurirati ovjereni pristup.
Ako želite znati više o tome, možete se posavjetovati sljedeći link.