A kínai Chaitin Tech kutatói szabadon engedték információk egy új felfedezésről, amint azt azonosították biztonsági rés a népszerű szervlet-tárolóban (Java Servlet, JavaServer Pages, Java Expression nyelv és Java WebSocket) Apache tomcat (már szerepel a CVE-2020-1938 néven).
Ez a sebezhetőség a "Ghostcat" kódnevet kapták és kritikus súlyossági szint (9.8 CVSS). A probléma az alapértelmezett konfigurációban engedélyezi a kérelem küldését a 8009 hálózati porton keresztül a webalkalmazások könyvtárában található bármely fájl tartalmának elolvasásához, beleértve az alkalmazás forráskódjait és a konfigurációs fájlokat.
A biztonsági rés lehetővé teszi más fájlok importálását is az alkalmazáskódba, amelyik megengedi a kód végrehajtásának megszervezése a szerveren, ha az alkalmazás lehetővé teszi fájlok feltöltését a szerverre.
Például, hogy a webhelyalkalmazás lehetővé teszi-e a felhasználók számára a fájlok feltöltését, egy támadó vádat emelhet első egy JSP szkript kódot tartalmazó fájl rosszindulatú a szerveren (maga a feltöltött fájl bármilyen típusú fájl lehet, például képek, egyszerű szöveges fájlok stb.) majd a biztonsági rés kihasználásával tartalmazza a feltöltött fájlt Ghostcat-tól, ami végső soron távoli kódfuttatást eredményezhet.
Megemlítik azt is, hogy támadás akkor hajtható végre, ha a hálózati portra AJP illesztőprogrammal lehet kérést küldeni. Az előzetes adatok szerint, a hálózat megtalálva több mint 1.2 millió host fogadja el az AJP protokoll használatával a kéréseket.
A biztonsági rés az AJP protokollban van és nem végrehajtási hiba okozza.
A HTTP-kapcsolatok elfogadása mellett (8080-as port) alapértelmezés szerint az Apache Tomcat programban hozzáférhető a webalkalmazáshoz az AJP protokoll használatával (Apache Jserv Protocol, 8009-es port), amely a HTTP nagyobb teljesítményre optimalizált bináris analógja, amelyet általában akkor használnak, amikor klasztert hoznak létre a Tomcat kiszolgálókról, vagy felgyorsítják a Tomcat-tal való interakciót egy fordított proxy vagy terheléselosztó eszközön.
Az AJP szabványos funkciót biztosít a szerveren található fájlok eléréséhez, amelyek felhasználhatók, beleértve a nyilvánosságra nem hozandó fájlok beérkezését is.
Magától értetődő, hogy a hozzáférés Az AJP csak megbízható alkalmazottak számára nyitottde valójában az alapértelmezett Tomcat konfigurációban az illesztőprogram minden hálózati interfészen elindult, és a kéréseket hitelesítés nélkül fogadták el.
A webalkalmazás bármely fájljához hozzáférés lehetséges, beleértve a WEB-INF, a META-INF tartalmát és a ServletContext.getResourceAsStream () híváson keresztül visszaküldött bármely más könyvtárat. Az AJP azt is lehetővé teszi, hogy a webalkalmazások számára elérhető könyvtárakban lévő fájlokat JSP szkriptként használhassa.
A probléma nyilvánvaló azóta, hogy 6 évvel ezelőtt megjelent a Tomcat 13.x fiók. Mellett Tomcat, a probléma érinti az azt használó termékeket is, például a Red Hat JBoss webkiszolgáló (JWS), a JBoss Enterprise Application Platform (EAP), valamint a Spring Bootot használó önálló webalkalmazások.
is hasonló sebezhetőséget találtak (CVE-2020-1745) az Undertow webkiszolgálón a Wildfly alkalmazáskiszolgálón használják. Jelenleg különböző csoportok több mint egy tucat működő példát készítettek a kihasználásokról.
Az Apache Tomcat hivatalosan is kiadta a 9.0.31, a 8.5.51 és a 7.0.100 verziókat a biztonsági rés kijavításához. A biztonsági rés helyes kijavításához, először meg kell határoznia, hogy a Tomcat AJP Connector szolgáltatást használják-e a szerver környezetében:
- Ha nem használ fürtöt vagy fordított proxyt, akkor alapvetően meghatározható, hogy az AJP-t nem használják.
- Ha nem, akkor meg kell találnia, hogy a fürt vagy a fordított szerver kommunikál-e a Tomcat AJP Connect szolgáltatással
Azt is megemlítik, hogy a frissítések már elérhetők a különböző Linux disztribúciókban mint: Debian, Ubuntu, RHEL, Fedora, SUSE.
Megkerülő megoldásként letilthatja a Tomcat AJP Connector szolgáltatást (kösse be a hallókészüléket a helyi géphez, vagy írja le a sort a Connector port = »8009 ″ néven), ha nem szükséges, vagy beállíthatja a hitelesített hozzáférést.
Ha többet szeretne tudni róla, konzultálhat a következő link.