Ghostcat、コードを置き換えることができるTomcatの脆弱性

Darkcrizt

4分

ゴーストキャット

中国のChaitinTechの研究者がリリース 彼らが特定した新しい発見に関する情報 人気のサーブレットコンテナの脆弱性 (Javaサーブレット、JavaServer Pages、Java式言語およびJava WebSocket) Apache Tomcatt(すでにCVE-2020-1938としてリストされています)。

この脆弱性 コードネーム「Ghostcat」が割り当てられました および重大な重大度レベル(9.8 CVSS)。 問題 デフォルト設定でリクエストを送信できるようにします ネットワークポート8009経由 Webアプリケーションディレクトリ内のファイルの内容を読み取る、アプリケーションのソースコードと構成ファイルを含みます。

この脆弱性により、他のファイルをアプリケーションコードにインポートすることもできます、これにより コード実行を整理する アプリケーションがファイルのサーバーへのアップロードを許可している場合は、サーバー上で。

例えば、 Webサイトアプリケーションでユーザーがファイルをアップロードできるかどうか, 攻撃者は請求できます 最初の JSPスクリプトコードを含むファイル サーバー上で悪意のあるもの(アップロードされたファイル自体は、画像、プレーンテキストファイルなど、あらゆる種類のファイルである可能性があります) 次に、脆弱性を悪用してアップロードされたファイルを含めます Ghostcatから。これにより、最終的にリモートでコードが実行される可能性があります。

また、AJPドライバーを使用してネットワークポートにリクエストを送信できる場合は、攻撃を実行できるとのことです。 予備データによると、ネットワークが見つかりました AJPプロトコルを使用してリクエストを受け入れる1.2万を超えるホスト。

脆弱性はAJPプロトコルに存在します 実装エラーが原因ではありません。

HTTP接続の受け入れに加えて (ポート8080)デフォルトではApacheTomcatの アクセスすることが可能です Webアプリケーションへ AJPプロトコルを使用する (Apache Jserv Protocol、ポート8009)。これは、パフォーマンスを向上させるために最適化されたHTTPのバイナリアナログであり、Tomcatサーバーからクラスターを作成する場合、またはリバースプロキシまたはロードバランサーでTomcatとの対話を高速化する場合に一般的に使用されます。

AJPは、サーバー上のファイルにアクセスするための標準機能を提供します、開示の対象とならないファイルの受領を含め、使用することができます。

アクセスすることは理解されています AJPは信頼できる使用人のみが利用できますしかし実際には、デフォルトのTomcat構成では、ドライバーはすべてのネットワークインターフェイスで起動され、要求は認証なしで受け入れられました。

WEB-INF、META-INF、およびServletContext.getResourceAsStream()呼び出しを通じて返されるその他のディレクトリの内容を含む、Webアプリケーション内の任意のファイルにアクセスできます。 AJPでは、Webアプリケーションで使用可能なディレクトリ内の任意のファイルをJSPスクリプトとして使用することもできます。

この問題は、Tomcat6.xブランチが13年前にリリースされてから明らかになっています。。 Tomcat自身に加えて、 問題はそれを使用する製品にも影響します、Red Hat JBoss Web Server(JWS)、JBoss Enterprise Application Platform(EAP)、およびSpringBootを使用するスタンドアロンWebアプリケーションなど。

さらに 同様の脆弱性が見つかりました (CVE-2020-1745) UndertowWebサーバー上 Wildflyアプリケーションサーバーで使用されます。 現在、さまざまなグループがXNUMXを超えるエクスプロイトの実例を用意しています。

Apache Tomcatは、バージョン9.0.31、8.5.51、および7.0.100を正式にリリースしました。 この脆弱性を修正します。 この脆弱性を正しく修正するには、最初に、TomcatAJPコネクタサービスがサーバー環境で使用されているかどうかを確認する必要があります。

  • クラスタまたはリバースプロキシを使用しない場合は、基本的にAJPを使用していないと判断できます。
  •  そうでない場合は、クラスターまたはリバースサーバーがTomcat AJPConnectサービスと通信しているかどうかを確認する必要があります。

また、 アップデートは、さまざまなLinuxディストリビューションで利用できるようになりました。 例:Debian、Ubuntu、RHEL、Fedora、SUSE。

回避策として、必要がない場合は、Tomcat AJPコネクタサービスを無効にする(リスニングソケットをローカルホストにバインドするか、コネクタポート=»8009″の行をコメントアウトする)か、認証済みアクセスを設定できます。

あなたがそれについてもっと知りたいならば、あなたは相談することができます 次のリンク。 


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。