Peneliti dari Chaitin Tech, China merilis informasi tentang penemuan baru, seperti yang telah mereka identifikasi kerentanan dalam wadah servlet populer (Java Servlet, Halaman JavaServer, Bahasa Ekspresi Java dan Java WebSocket) Apache tomcat (sudah terdaftar sebagai CVE-2020-1938).
Kerentanan ini mereka diberi nama kode "Ghostcat" dan tingkat keparahan kritis (9.8 CVSS). Masalah memungkinkan dalam konfigurasi default untuk mengirim permintaan melalui port jaringan 8009 untuk membaca konten file apa pun di direktori aplikasi web, termasuk kode sumber aplikasi dan file konfigurasi.
Kerentanan juga memungkinkan mengimpor file lain ke dalam kode aplikasi, yang memungkinkan mengatur eksekusi kode di server jika aplikasi memungkinkan file untuk diunggah ke server.
Sebagai contoh, apakah aplikasi situs web memungkinkan pengguna untuk mengunggah file, penyerang dapat menyerang pertama file yang berisi kode skrip JSP berbahaya di server (file yang diunggah itu sendiri dapat berupa file jenis apa saja, seperti gambar, file teks biasa, dll.) dan kemudian menyertakan file yang diunggah dengan memanfaatkan kerentanan dari Ghostcat, yang pada akhirnya dapat menghasilkan eksekusi kode jarak jauh.
Disebutkan juga bahwa serangan dapat dilakukan jika memungkinkan untuk mengirim permintaan ke port jaringan dengan driver AJP. Menurut data awal, jaringan ditemukan lebih dari 1.2 juta host menerima permintaan menggunakan protokol AJP.
Kerentanan ada dalam protokol AJP dan itu tidak disebabkan oleh kesalahan implementasi.
Selain menerima koneksi HTTP (port 8080) di Apache Tomcat, secara default dimungkinkan untuk mengakses ke aplikasi web menggunakan protokol AJP (Apache Jserv Protocol, port 8009), yang merupakan analog biner dari HTTP yang dioptimalkan untuk kinerja yang lebih tinggi, umumnya digunakan saat membuat cluster dari server Tomcat atau untuk mempercepat interaksi dengan Tomcat pada proxy terbalik atau penyeimbang beban.
AJP menyediakan fungsi standar untuk mengakses file di server, yang dapat digunakan, termasuk penerimaan file yang tidak boleh diungkapkan.
Dapat dipahami bahwa akses ke AJP terbuka hanya untuk pegawai terpercayanamun kenyataannya, dalam konfigurasi Tomcat default, driver diluncurkan pada semua antarmuka jaringan dan permintaan diterima tanpa otentikasi.
Akses dimungkinkan ke file apa pun dalam aplikasi web, termasuk konten WEB-INF, META-INF, dan direktori lain yang dikembalikan melalui panggilan ServletContext.getResourceAsStream (). AJP juga memungkinkan Anda untuk menggunakan file apa pun dalam direktori yang tersedia untuk aplikasi web sebagai skrip JSP.
Masalahnya sudah terlihat sejak cabang Tomcat 6.x dirilis 13 tahun lalu. Selain Tomcat sendiri, masalah juga mempengaruhi produk yang menggunakannya, seperti Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), serta aplikasi web mandiri yang menggunakan Spring Boot.
juga kerentanan serupa ditemukan (CVE-2020-1745) di web server Undertow digunakan di server aplikasi Wildfly. Saat ini, berbagai kelompok telah menyiapkan lebih dari selusin contoh eksploitasi.
Apache Tomcat secara resmi telah merilis versi 9.0.31, 8.5.51 dan 7.0.100 untuk memperbaiki kerentanan ini. Untuk memperbaiki kerentanan ini dengan benar, Anda harus terlebih dahulu menentukan apakah layanan Tomcat AJP Connector digunakan di lingkungan server Anda:
- Jika cluster atau reverse proxy tidak digunakan, pada dasarnya dapat ditentukan bahwa AJP tidak digunakan.
- Jika tidak, Anda perlu mencari tahu apakah cluster atau server terbalik berkomunikasi dengan layanan Tomcat AJP Connect
Disebutkan juga itu pembaruan sekarang tersedia di distribusi Linux yang berbeda seperti: Debian, Ubuntu, RHEL, Fedora, SUSE.
Sebagai solusinya, Anda dapat menonaktifkan layanan Tomcat AJP Connector (mengikat soket pendengar ke localhost atau mengomentari baris dengan port Connector = »8009 ″), jika tidak diperlukan, atau mengkonfigurasi akses yang diautentikasi.
Jika Anda ingin tahu lebih banyak tentang itu Anda bisa berkonsultasi link berikut.