חוקרים מטעם Chaitin Tech, סין שוחררו מידע על תגלית חדשה, כפי שזיהו פגיעות במיכל ה- servlet הפופולרי (Java Servlet, JavaServer Pages, Java Expression Language ו- Java WebSocket) אפאצ'י טומקהt (כבר רשום כ- CVE-2020-1938).
פגיעות זו הוענק להם שם הקוד "חתול רפאים" ורמת חומרה קריטית (9.8 CVSS). הבעיה מאפשר בתצורת ברירת המחדל לשלוח בקשה דרך יציאת רשת 8009 לקריאת התוכן של כל קובץ בספריית יישומי האינטרנט, כולל קודי מקור יישומים וקבצי תצורה.
הפגיעות מאפשרת גם לייבא קבצים אחרים לקוד היישום, המאפשר לארגן ביצוע קוד בשרת אם היישום מאפשר להעלות קבצים לשרת.
לדוגמה, האם יישום האתר מאפשר למשתמשים להעלות קבצים, תוקף יכול להאשים Primero קובץ המכיל קוד סקריפט JSP זדוני בשרת (הקובץ שהועלה עצמו יכול להיות כל סוג של קובץ, כגון תמונות, קבצי טקסט רגיל וכו '). ואז כלול את הקובץ שהועלה על ידי ניצול הפגיעות מ- Ghostcat, מה שבסופו של דבר יכול לגרום לביצוע קוד מרחוק.
מוזכר גם שניתן לבצע התקפה אם ניתן לשלוח בקשה ליציאת רשת עם מנהל התקן AJP. על פי נתונים ראשוניים, נמצאה הרשת יותר מ -1.2 מיליון מארחים המקבלים בקשות באמצעות פרוטוקול AJP.
הפגיעות קיימת בפרוטוקול AJP והיא לא נגרמת על ידי שגיאת יישום.
בנוסף לקבלת חיבורי HTTP (יציאה 8080) ב- Apache Tomcat, כברירת מחדל אפשר לגשת לאפליקציית האינטרנט באמצעות פרוטוקול AJP (פרוטוקול Apache Jserv, יציאה 8009), שהוא אנלוג בינארי של HTTP המותאם לביצועים גבוהים יותר, משמש בדרך כלל בעת יצירת אשכול משרתי Tomcat או כדי להאיץ את האינטראקציה עם Tomcat על פרוקסי הפוך או מאזן עומסים.
AJP מספק פונקציה סטנדרטית לגישה לקבצים בשרת, בהם ניתן להשתמש, כולל קבלת קבצים שאינם כפופים לגילוי.
מובן כי גישה ל AJP פתוח רק למשרתים מהימניםאך למעשה, בתצורת Tomcat המוגדרת כברירת מחדל, מנהל ההתקן הושק בכל ממשקי הרשת והבקשות התקבלו ללא אימות.
הגישה אפשרית לכל קובץ ביישום האינטרנט, כולל תוכן WEB-INF, META-INF, וכל ספרייה אחרת המוחזרת דרך שיחת ServletContext.getResourceAsStream (). AJP מאפשר לך גם להשתמש בכל קובץ בספריות הזמינות ליישום אינטרנט כתסריט JSP.
הבעיה ניכרה מאז שחרורו של סניף Tomcat 6.x לפני 13 שנה. בנוסף לטומקט עצמו, הבעיה משפיעה גם על המוצרים המשתמשים בהכמו Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP) וכן יישומי אינטרנט עצמאיים המשתמשים באביב אתחול.
גם נמצאה פגיעות דומה (CVE-2020-1745) בשרת האינטרנט Undertow משמש בשרת היישומים Wildfly. נכון לעכשיו, קבוצות שונות הכינו יותר מתריסר דוגמאות עבודה למעללים.
Apache Tomcat פרסמה רשמית את הגרסאות 9.0.31, 8.5.51 ו- 7.0.100 כדי לתקן את הפגיעות הזו. כדי לתקן את הפגיעות הזו בצורה נכונהתחילה עליך לקבוע אם נעשה שימוש בשירות מחברי AJP של Tomcat בסביבת השרת שלך:
- אם לא משתמשים באשכול או פרוקסי הפוך, ניתן לקבוע בעצם שלא משתמשים ב- AJP.
- אם לא, עליך לברר אם האשכול או השרת ההפוך מתקשרים עם שירות Tomcat AJP Connect
מוזכר גם ש עדכונים זמינים כעת בהפצות לינוקס השונות כמו: דביאן, אובונטו, RHEL, פדורה, SUSE.
כדרך לעקיפת הבעיה, תוכל להשבית את שירות מחברי AJP של Tomcat (לאגד את שקע ההאזנה ל- localhost או להגיב על השורה עם יציאת Connector = »8009 ″), אם לא נדרש, או להגדיר גישה מאומתת.
אם אתה רוצה לדעת יותר על זה אתה יכול להתייעץ הקישור הבא.