A Ghostcat, a Tomcat biztonsági rése, amely helyettesítheti a kódot

szellemcica

A kínai Chaitin Tech kutatói szabadon engedték információk egy új felfedezésről, amint azt azonosították biztonsági rés a népszerű szervlet-tárolóban (Java Servlet, JavaServer Pages, Java Expression nyelv és Java WebSocket) Apache tomcat (már szerepel a CVE-2020-1938 néven).

Ez a sebezhetőség a "Ghostcat" kódnevet kapták és kritikus súlyossági szint (9.8 CVSS). A probléma az alapértelmezett konfigurációban engedélyezi a kérelem küldését a 8009 hálózati porton keresztül a webalkalmazások könyvtárában található bármely fájl tartalmának elolvasásához, beleértve az alkalmazás forráskódjait és a konfigurációs fájlokat.

A biztonsági rés lehetővé teszi más fájlok importálását is az alkalmazáskódba, amelyik megengedi a kód végrehajtásának megszervezése a szerveren, ha az alkalmazás lehetővé teszi fájlok feltöltését a szerverre.

Például, hogy a webhelyalkalmazás lehetővé teszi-e a felhasználók számára a fájlok feltöltését, egy támadó vádat emelhet első egy JSP szkript kódot tartalmazó fájl rosszindulatú a szerveren (maga a feltöltött fájl bármilyen típusú fájl lehet, például képek, egyszerű szöveges fájlok stb.) majd a biztonsági rés kihasználásával tartalmazza a feltöltött fájlt Ghostcat-tól, ami végső soron távoli kódfuttatást eredményezhet.

Megemlítik azt is, hogy támadás akkor hajtható végre, ha a hálózati portra AJP illesztőprogrammal lehet kérést küldeni. Az előzetes adatok szerint, a hálózat megtalálva több mint 1.2 millió host fogadja el az AJP protokoll használatával a kéréseket.

A biztonsági rés az AJP protokollban van és nem végrehajtási hiba okozza.

A HTTP-kapcsolatok elfogadása mellett (8080-as port) alapértelmezés szerint az Apache Tomcat programban hozzáférhető a webalkalmazáshoz az AJP protokoll használatával (Apache Jserv Protocol, 8009-es port), amely a HTTP nagyobb teljesítményre optimalizált bináris analógja, amelyet általában akkor használnak, amikor klasztert hoznak létre a Tomcat kiszolgálókról, vagy felgyorsítják a Tomcat-tal való interakciót egy fordított proxy vagy terheléselosztó eszközön.

Az AJP szabványos funkciót biztosít a szerveren található fájlok eléréséhez, amelyek felhasználhatók, beleértve a nyilvánosságra nem hozandó fájlok beérkezését is.

Magától értetődő, hogy a hozzáférés Az AJP csak megbízható alkalmazottak számára nyitottde valójában az alapértelmezett Tomcat konfigurációban az illesztőprogram minden hálózati interfészen elindult, és a kéréseket hitelesítés nélkül fogadták el.

A webalkalmazás bármely fájljához hozzáférés lehetséges, beleértve a WEB-INF, a META-INF tartalmát és a ServletContext.getResourceAsStream () híváson keresztül visszaküldött bármely más könyvtárat. Az AJP azt is lehetővé teszi, hogy a webalkalmazások számára elérhető könyvtárakban lévő fájlokat JSP szkriptként használhassa.

A probléma nyilvánvaló azóta, hogy 6 évvel ezelőtt megjelent a Tomcat 13.x fiók. Mellett Tomcat, a probléma érinti az azt használó termékeket is, például a Red Hat JBoss webkiszolgáló (JWS), a JBoss Enterprise Application Platform (EAP), valamint a Spring Bootot használó önálló webalkalmazások.

is hasonló sebezhetőséget találtak (CVE-2020-1745) az Undertow webkiszolgálón a Wildfly alkalmazáskiszolgálón használják. Jelenleg különböző csoportok több mint egy tucat működő példát készítettek a kihasználásokról.

Az Apache Tomcat hivatalosan is kiadta a 9.0.31, a 8.5.51 és a 7.0.100 verziókat a biztonsági rés kijavításához. A biztonsági rés helyes kijavításához, először meg kell határoznia, hogy a Tomcat AJP Connector szolgáltatást használják-e a szerver környezetében:

  • Ha nem használ fürtöt vagy fordított proxyt, akkor alapvetően meghatározható, hogy az AJP-t nem használják.
  •  Ha nem, akkor meg kell találnia, hogy a fürt vagy a fordított szerver kommunikál-e a Tomcat AJP Connect szolgáltatással

Azt is megemlítik, hogy a frissítések már elérhetők a különböző Linux disztribúciókban mint: Debian, Ubuntu, RHEL, Fedora, SUSE.

Megkerülő megoldásként letilthatja a Tomcat AJP Connector szolgáltatást (kösse be a hallókészüléket a helyi géphez, vagy írja le a sort a Connector port = »8009 ″ néven), ha nem szükséges, vagy beállíthatja a hitelesített hozzáférést.

Ha többet szeretne tudni róla, konzultálhat a következő link. 


A cikk tartalma betartja a szerkesztői etika. A hiba bejelentéséhez kattintson a gombra itt.

Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra.

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.