Hulumtuesit nga Chaitin Tech, Kinë lëshuan informacion në lidhje me një zbulim të ri, siç e kanë identifikuar një dobësi në kontejnerin e mirënjohur të servletit (Java Servlet, JavaServer Pages, Java Expression Language dhe Java WebSocket) Apache tomcat (tashmë e shënuar si CVE-2020-1938).
Kjo dobësi atyre iu caktua emri i koduar "Ghostcat" dhe një nivel të ashpërsisë kritike (9.8 CVSS). Problemi lejon në konfigurimin e paracaktuar të dërgojë një kërkesë përmes portit të rrjetit 8009 për të lexuar përmbajtjen e çdo skedari në drejtorinë e aplikacioneve në internet, përfshirë kodet burimore të aplikacioneve dhe skedarët e konfigurimit.
Dobësia gjithashtu lejon importimin e skedarëve të tjerë në kodin e aplikacionit, e cila lejon organizoni ekzekutimin e kodit në server nëse aplikacioni lejon që skedarët të ngarkohen në server.
Për shembull, nëse aplikacioni i faqes në internet lejon përdoruesit të ngarkojnë skedarë, një sulmues mund të ngarkojë i parë një skedar që përmban kodin e skenarit JSP me qëllim të keq në server (vetë skedari i ngarkuar mund të jetë çdo lloj skedari, të tilla si imazhe, skedarë me tekst të thjeshtë, etj.) dhe më pas përfshini skedarin e ngarkuar duke shfrytëzuar dobësinë nga Ghostcat, i cili përfundimisht mund të rezultojë në ekzekutimin e kodit në distancë.
Përmendet gjithashtu se një sulm mund të kryhet nëse është e mundur të dërgoni një kërkesë në një port të rrjetit me një shofer AJP. Sipas të dhënave paraprake, rrjeti u gjet më shumë se 1.2 milion strehues që pranojnë kërkesa duke përdorur protokollin AJP.
Dobësia është e pranishme në protokollin AJP dhe nuk është shkaktuar nga një gabim i implementimit.
Përveç pranimit të lidhjeve HTTP (porti 8080) në Apache Tomcat, si parazgjedhje është e mundur për të hyrë në aplikacionin në internet duke përdorur protokollin AJP (Protokolli Apache Jserv, port 8009), i cili është një analog binar i HTTP i optimizuar për performancë më të lartë, i përdorur zakonisht kur krijoni një tufë nga serverat Tomcat ose për të shpejtuar ndërveprimin me Tomcat në një proxy të kundërt ose balancues të ngarkesës.
AJP ofron një funksion standard për të hyrë në skedarët në server, të cilat mund të përdoren, përfshirë edhe marrjen e dosjeve që nuk janë subjekt i zbulimit.
Kuptohet që qasja në AJP është e hapur vetëm për shërbëtorët e besuarpor në fakt, në konfigurimin e paracaktuar të Tomcat, shoferi u lëshua në të gjitha ndërfaqet e rrjetit dhe kërkesat u pranuan pa vërtetim.
Hyrja është e mundur për çdo skedar në aplikacionin në internet, përfshirë përmbajtjen e WEB-INF, META-INF dhe çdo direktorie tjetër të kthyer përmes thirrjes ServletContext.getResourceAsStream (). AJP gjithashtu ju lejon të përdorni çdo skedar në drejtoritë e disponueshme për një aplikacion në internet si një skenar JSP.
Problemi ka qenë i dukshëm që kur dega Tomcat 6.x u lëshua 13 vjet më parë. Përveç vetë Tomcat, problemi prek edhe produktet që e përdorin atë, të tilla si Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), si dhe aplikacione të pavarura në internet duke përdorur Spring Boot.
edhe u gjet një dobësi e ngjashme (CVE-2020-1745) në serverin Undertow përdoret në serverin e aplikacionit Wildfly. Aktualisht, grupe të ndryshme kanë përgatitur më shumë se një duzinë shembujsh pune të shfrytëzimeve.
Apache Tomcat ka lëshuar zyrtarisht versionet 9.0.31, 8.5.51 dhe 7.0.100 për të korrigjuar këtë dobësi. Për të korrigjuar saktësisht këtë dobësi, së pari duhet të përcaktoni nëse shërbimi Tomcat AJP Connector përdoret në mjedisin e serverit tuaj:
- Nëse nuk përdoret proxy i grupeve ose i kundërt, në thelb mund të përcaktoni që AJP nuk përdoret.
- Nëse jo, duhet të zbuloni nëse kllaster ose serveri i kundërt po komunikon me shërbimin Tomcat AJP Connect
Përmendet gjithashtu se azhurnimet tani janë në dispozicion në shpërndarjet e ndryshme të Linux si: Debian, Ubuntu, RHEL, Fedora, SUSE.
Si një zgjidhje, mund të çaktivizoni shërbimin Tomcat AJP Connector (lidhni prizën e dëgjimit në localhost ose komentoni vijën me portën Lidhëse = »8009), nëse nuk kërkohet, ose konfiguroni hyrjen e vërtetuar.
Nëse doni të dini më shumë rreth kësaj mund të konsultoheni lidhja e mëposhtme.