Uvoľnili to vedci z Chaitin Tech v Číne informácie o novom objave, ako ich identifikovali zraniteľnosť v populárnom kontajneri servletov (Java Servlet, JavaServer Pages, Java Expression Language a Java WebSocket) Apache tomcat (už uvedený ako CVE-2020-1938).
Táto zraniteľnosť boli im pridelení krycie meno „Ghostcat“ a úroveň kritickej závažnosti (9.8 CVSS). Problém umožňuje v predvolenej konfigurácii odoslať požiadavku cez sieťový port 8009 čítať obsah ľubovoľného súboru v adresári webových aplikácií, vrátane zdrojových kódov aplikácií a konfiguračných súborov.
Zraniteľnosť umožňuje aj import ďalších súborov do kódu aplikácie, ktorý umožňuje organizovať vykonávanie kódu na serveri, ak aplikácia umožňuje nahrávanie súborov na server.
Napríklad, či webová aplikácia umožňuje používateľom nahrávať súbory, útočník môže účtovať prvý súbor obsahujúci kód skriptu JSP škodlivý na serveri (samotný nahraný súbor môže byť akýkoľvek typ súboru, napríklad obrázky, súbory vo formáte obyčajného textu atď.) a potom zahrnúť nahraný súbor využitím chyby zabezpečenia z Ghostcat, čo môže v konečnom dôsledku viesť k vzdialenému spusteniu kódu.
Uvádza sa tiež, že je možné vykonať útok, ak je možné poslať požiadavku na sieťový port pomocou ovládača AJP. Podľa predbežných údajov, sieť nájdená viac ako 1.2 milióna hostiteľov prijíma požiadavky pomocou protokolu AJP.
Zraniteľnosť sa nachádza v protokole AJP a nie je to spôsobené chybou implementácie.
Okrem prijímania pripojení HTTP (port 8080) v serveri Apache Tomcat, predvolene je možný prístup do webovej aplikácie pomocou protokolu AJP (Apache Jserv Protocol, port 8009), čo je binárny analóg protokolu HTTP optimalizovaný pre vyšší výkon, ktorý sa zvyčajne používa pri vytváraní klastra zo serverov Tomcat alebo na urýchlenie interakcie s Tomcat na reverznom proxy serveri alebo nástroji na vyrovnávanie zaťaženia.
AJP poskytuje štandardnú funkciu na prístup k súborom na serveri, ktoré je možné použiť, vrátane prijímania súborov, ktoré nepodliehajú zverejneniu.
Rozumie sa, že prístup k AJP je otvorený iba pre dôveryhodných zamestnancovale v skutočnosti bol v predvolenej konfigurácii Tomcat ovládač spustený na všetkých sieťových rozhraniach a požiadavky boli akceptované bez autentifikácie.
Je možný prístup k ľubovoľnému súboru vo webovej aplikácii vrátane obsahu WEB-INF, META-INF a akýchkoľvek ďalších adresárov vrátených prostredníctvom volania ServletContext.getResourceAsStream (). AJP vám tiež umožňuje použiť ľubovoľný súbor v adresároch dostupných pre webovú aplikáciu ako skript JSP.
Problém je zrejmý od vydania pobočky Tomcat 6.x pred 13 rokmi. Okrem samotného Tomcata problém ovplyvňuje aj výrobky, ktoré ho používajú, ako napríklad Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), ako aj samostatné webové aplikácie, ktoré používajú Spring Boot.
tiež bola zistená podobná zraniteľnosť (CVE-2020-1745) na webovom serveri Undertow používaný na aplikačnom serveri Wildfly. V súčasnosti rôzne skupiny pripravili viac ako tucet pracovných príkladov exploitov.
Apache Tomcat oficiálne vydal verzie 9.0.31, 8.5.51 a 7.0.100 túto zraniteľnosť napraviť. Správne opraviť túto chybu zabezpečenia, musíte najskôr zistiť, či sa vo vašom serverovom prostredí používa služba Tomcat AJP Connector:
- Ak sa nepoužije žiadny klaster alebo reverzný proxy server, dá sa v zásade určiť, že sa AJP nepoužíva.
- Ak nie, musíte zistiť, či klastrový alebo reverzný server komunikuje so službou Tomcat AJP Connect
Tiež sa o tom hovorí aktualizácie sú teraz k dispozícii v rôznych distribúciách systému Linux ako: Debian, Ubuntu, RHEL, Fedora, SUSE.
Ako náhradné riešenie môžete deaktivovať službu Tomcat AJP Connector (viazať načúvaciu zásuvku na localhost alebo komentovať linku pomocou Connector port = »8009 ″), ak to nie je potrebné, alebo nakonfigurovať autentizovaný prístup.
Ak sa chcete dozvedieť viac, môžete sa poradiť nasledujúci odkaz.