Forskere fra Chaitin Tech, Kina løslatt informasjon om et nytt funn, slik de har identifisert et sårbarhet i den populære servletcontaineren (Java Servlet, JavaServer Pages, Java Expression Language og Java WebSocket) Apache tomcat (allerede oppført som CVE-2020-1938).
Denne sårbarheten de fikk kodenavnet "Ghostcat" og et kritisk alvorlighetsnivå (9.8 CVSS). Problemet tillater i standardkonfigurasjonen å sende en forespørsel via nettverksport 8009 for å lese innholdet i en hvilken som helst fil i webapplikasjonskatalogen, inkludert applikasjonskildekoder og konfigurasjonsfiler.
Sårbarheten tillater også import av andre filer til applikasjonskoden, som tillater organisere kodeutførelse på serveren hvis programmet lar filer lastes opp til serveren.
For eksempel, om nettstedsapplikasjonen tillater brukere å laste opp filer, en angriper kan lade første en fil som inneholder JSP-skriptkode skadelig på serveren (selve den opplastede filen kan være hvilken som helst filtype, for eksempel bilder, ren tekstfiler osv.) og inkluder deretter den opplastede filen ved å utnytte sårbarheten fra Ghostcat, som til slutt kan resultere i ekstern kjøring av kode.
Det nevnes også at et angrep kan utføres hvis det er mulig å sende en forespørsel til en nettverksport med en AJP-driver. I følge foreløpige data, fant nettverket mer enn 1.2 millioner verter som godtar forespørsler ved hjelp av AJP-protokollen.
Sårbarheten er tilstede i AJP-protokollen og det er ikke forårsaket av en implementeringsfeil.
I tillegg til å godta HTTP-tilkoblinger (port 8080) i Apache Tomcat, som standard det er mulig å få tilgang til webapplikasjonen ved hjelp av AJP-protokollen (Apache Jserv Protocol, port 8009), som er en binær analog av HTTP optimalisert for høyere ytelse, vanligvis brukt når du lager en klynge fra Tomcat-servere eller for å øke interaksjonen med Tomcat på en omvendt proxy eller belastningsbalanser.
AJP gir en standardfunksjon for å få tilgang til filer på serveren, som kan brukes, inkludert mottak av filer som ikke er underlagt avsløring.
Det er forstått at tilgang til AJP er kun åpent for pålitelige tjeneremen faktisk, i Tomcat-standardkonfigurasjonen, ble driveren lansert på alle nettverksgrensesnitt og forespørsler ble godtatt uten godkjenning.
Tilgang er mulig til alle filer i webapplikasjonen, inkludert innholdet i WEB-INF, META-INF og hvilken som helst annen katalog som returneres gjennom ServletContext.getResourceAsStream () -anropet. AJP lar deg også bruke alle filer i kataloger som er tilgjengelige for et webapplikasjon som et JSP-skript.
Problemet har vært tydelig siden Tomcat 6.x-grenen ble utgitt for 13 år siden. I tillegg til Tomcat selv, problemet påvirker også produktene som bruker det, som Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), samt frittstående webapplikasjoner som bruker Spring Boot.
Også en lignende sårbarhet ble funnet (CVE-2020-1745) på Undertow-webserveren brukes i Wildfly-applikasjonsserveren. Foreløpig har forskjellige grupper utarbeidet mer enn et dusin eksempler på utnyttelser.
Apache Tomcat har offisielt gitt ut versjon 9.0.31, 8.5.51 og 7.0.100 for å rette opp dette sårbarheten. For å rette opp dette sikkerhetsproblemet, må du først avgjøre om Tomcat AJP Connector-tjenesten brukes i servermiljøet ditt:
- Hvis klynge eller omvendt proxy ikke brukes, kan det i utgangspunktet bestemmes at AJP ikke brukes.
- Hvis ikke, må du finne ut om klyngen eller omvendt server kommuniserer med Tomcat AJP Connect-tjenesten
Det nevnes også at oppdateringer er nå tilgjengelig i de forskjellige Linux-distribusjonene som: Debian, Ubuntu, RHEL, Fedora, SUSE.
Som en løsning kan du deaktivere Tomcat AJP Connector-tjenesten (binde lyttekontakten til localhost eller kommentere linjen med Connector-port = »8009 ″), hvis ikke nødvendig, eller konfigurere godkjent tilgang.
Hvis du vil vite mer om det, kan du konsultere følgende lenke.