Chaitin Tech, Çin'den araştırmacılar yayınlandı tanımladıkları gibi yeni bir keşif hakkında bilgi popüler sunucu kapsayıcısındaki bir güvenlik açığı (Java Servlet, JavaServer Pages, Java Expression Language ve Java WebSocket) Apache tomcat (zaten CVE-2020-1938 olarak listelenmiştir).
Bu güvenlik açığı onlara "Ghostcat" kod adı verildi ve kritik önem seviyesi (9.8 CVSS). Sorun varsayılan yapılandırmada bir istek göndermesine izin verir ağ bağlantı noktası 8009 üzerinden web uygulama dizinindeki herhangi bir dosyanın içeriğini okumak için, uygulama kaynak kodları ve yapılandırma dosyaları dahil.
Güvenlik açığı, diğer dosyaların uygulama koduna aktarılmasına da izin veriyorsağlayan kod yürütmeyi düzenle Uygulama dosyaların sunucuya yüklenmesine izin veriyorsa sunucuda.
Örneğin, web sitesi uygulamasının kullanıcıların dosya yüklemesine izin verip vermediği, bir saldırgan hücum edebilir ilk JSP komut dosyası kodunu içeren bir dosya sunucuda kötü amaçlı yazılım (yüklenen dosyanın kendisi resimler, düz metin dosyaları vb. gibi herhangi bir dosya türü olabilir) ve ardından güvenlik açığından yararlanarak yüklenen dosyayı dahil edin Ghostcat'ten, sonuçta uzaktan kod yürütülmesine neden olabilir.
AJP sürücüsü ile bir ağ bağlantı noktasına istek gönderilmesi mümkünse bir saldırı gerçekleştirilebileceğinden de bahsedilmektedir. Ön verilere göre, ağ bulundu AJP protokolünü kullanarak istekleri kabul eden 1.2 milyondan fazla ana bilgisayar.
Güvenlik açığı, AJP protokolünde mevcuttur ve bir uygulama hatasından kaynaklanmaz.
HTTP bağlantılarını kabul etmenin yanı sıra (bağlantı noktası 8080), Apache Tomcat'te varsayılan olarak erişmek mümkün web uygulamasına AJP protokolünü kullanarak (Apache Jserv Protokolü, 8009 numaralı bağlantı noktası), daha yüksek performans için optimize edilmiş HTTP'nin ikili bir analoğu olup, genellikle Tomcat sunucularından bir küme oluştururken veya ters proxy veya yük dengeleyicide Tomcat ile etkileşimi hızlandırmak için kullanılır.
AJP, sunucudaki dosyalara erişmek için standart bir işlev sağlarifşa edilmeyen dosyaların alınması da dahil olmak üzere kullanılabilecek.
Erişim olduğu anlaşılıyor AJP yalnızca güvenilir hizmetçilere açıktırancak aslında, varsayılan Tomcat yapılandırmasında, sürücü tüm ağ arayüzlerinde başlatıldı ve istekler kimlik doğrulaması olmadan kabul edildi.
WEB-INF, META-INF ve ServletContext.getResourceAsStream () çağrısı aracılığıyla döndürülen diğer tüm dizinler dahil olmak üzere web uygulamasındaki herhangi bir dosyaya erişim mümkündür. AJP ayrıca bir web uygulamasında bulunan dizinlerdeki herhangi bir dosyayı JSP komut dosyası olarak kullanmanıza izin verir.
Sorun, Tomcat 6.x şubesinin 13 yıl önce piyasaya sürülmesinden bu yana açıkça görülüyordu.. Tomcat'in kendisine ek olarak, sorun aynı zamanda onu kullanan ürünleri de etkiliyorRed Hat JBoss Web Sunucusu (JWS), JBoss Kurumsal Uygulama Platformu (EAP) ve Spring Boot kullanan bağımsız web uygulamaları gibi.
ayrıca benzer bir güvenlik açığı bulundu (CVE-2020-1745) Undertow web sunucusunda Wildfly uygulama sunucusunda kullanılır. Şu anda, çeşitli gruplar bir düzineden fazla çalışan istismar örneği hazırladı.
Apache Tomcat 9.0.31, 8.5.51 ve 7.0.100 sürümlerini resmi olarak yayınladı bu güvenlik açığını düzeltmek için. Bu güvenlik açığını doğru bir şekilde düzeltmek içinönce Tomcat AJP Bağlayıcısı hizmetinin sunucu ortamınızda kullanılıp kullanılmadığını belirlemeniz gerekir:
- Küme veya ters proxy kullanılmıyorsa, temel olarak AJP'nin kullanılmadığını belirleyebilirsiniz.
- Aksi takdirde, kümenin veya ters sunucunun Tomcat AJP Connect hizmetiyle iletişim kurup kurmadığını öğrenmeniz gerekir.
Ayrıca bahsedilmektedir güncellemeler artık farklı Linux dağıtımlarında mevcuttur gibi: Debian, Ubuntu, RHEL, Fedora, SUSE.
Geçici bir çözüm olarak, Tomcat AJP Connector hizmetini devre dışı bırakabilirsiniz (dinleme soketini localhost'a bağlayabilir veya Bağlayıcı bağlantı noktası = »8009 ″ ile satırı yorumlayabilir), gerekmiyorsa veya kimliği doğrulanmış erişimi yapılandırabilirsiniz.
Daha fazla bilgi edinmek istiyorsanız danışabilirsiniz. aşağıdaki bağlantı.