Дослідники з Chaitin Tech, Китай, звільнили інформація про нове відкриття, як вони визначили уразливість у популярному контейнері сервлетів (Java Servlet, JavaServer Pages, Java Expression Language та Java WebSocket) Apache tomcat (вже вказано як CVE-2020-1938).
Ця вразливість їм була присвоєна кодова назва "Ghostcat" і критичний рівень тяжкості (9.8 CVSS). Проблема дозволяє у конфігурації за замовчуванням надсилати запит через мережевий порт 8009 читати вміст будь-якого файлу в каталозі веб-додатків, включаючи вихідні коди додатків та файли конфігурації.
Уразливість також дозволяє імпортувати інші файли в код програми, що дозволяє організувати виконання коду на сервері, якщо програма дозволяє завантажувати файли на сервер.
Наприклад, чи дозволяє додаток веб-сайту користувачам завантажувати файли, зловмисник може зарядити перший файл, що містить код сценарію JSP зловмисний на сервері (сам завантажений файл може бути файлом будь-якого типу, наприклад зображенням, текстовим файлом тощо) а потім включити завантажений файл, використовуючи вразливість від Ghostcat, що в кінцевому підсумку може призвести до віддаленого виконання коду.
Також згадується, що атаку можна здійснити, якщо є можливість надіслати запит до мережевого порту за допомогою драйвера AJP. За попередніми даними, мережа знайдена більше 1.2 мільйона хостів приймають запити за допомогою протоколу AJP.
Вразливість присутня в протоколі AJP і це не спричинено помилкою реалізації.
На додаток до прийому з'єднань HTTP (порт 8080) в Apache Tomcat, за замовчуванням є доступ до веб-програми за допомогою протоколу AJP (Apache Jserv Protocol, порт 8009), який є двійковим аналогом HTTP, оптимізований для більш високої продуктивності, зазвичай використовується при створенні кластера з серверів Tomcat або для прискорення взаємодії з Tomcat на зворотному проксі-сервері або балансуванні навантаження.
AJP надає стандартну функцію доступу до файлів на сервері, які можна використовувати, включаючи отримання файлів, які не підлягають розголошенню.
Зрозуміло, що доступ до AJP відкритий лише для довірених слугале насправді, у конфігурації Tomcat за замовчуванням драйвер запускався на всіх мережевих інтерфейсах, і запити приймались без автентифікації.
Доступ можливий до будь-якого файлу у веб-програмі, включаючи вміст WEB-INF, META-INF та будь-який інший каталог, повернутий за допомогою виклику ServletContext.getResourceAsStream (). AJP також дозволяє використовувати будь-який файл у каталогах, доступних веб-застосунку, як сценарій JSP.
Проблема була очевидною з моменту випуску гілки Tomcat 6.x 13 років тому. На додаток до самого Tomcat, проблема також стосується продуктів, які її використовують, такі як веб-сервер Red Hat JBoss (JWS), JBoss Enterprise Application Platform (EAP), а також окремі веб-програми, які використовують Spring Boot.
також була виявлена подібна вразливість (CVE-2020-1745) на веб-сервері Undertow використовується на сервері додатків Wildfly. В даний час різні групи підготували більше десятка робочих прикладів подвигів.
Apache Tomcat офіційно випустила версії 9.0.31, 8.5.51 та 7.0.100 виправити цю вразливість. Щоб правильно виправити цю вразливість, спочатку слід визначити, чи використовується служба Tomcat AJP Connector у вашому серверному середовищі:
- Якщо кластер або зворотний проксі не використовується, можна в основному визначити, що AJP не використовується.
- Якщо ні, вам потрібно з’ясувати, чи кластер або сервер зворотного зв'язку взаємодіє із службою Tomcat AJP Connect
Також згадується, що Оновлення тепер доступні в різних дистрибутивах Linux як: Debian, Ubuntu, RHEL, Fedora, SUSE.
Як вирішення проблеми, ви можете відключити службу Tomcat AJP Connector (прив’язати сокет прослуховування до localhost або прокоментувати лінію з Connector port = »8009 ″), якщо не потрібно, або налаштувати автентифікований доступ.
Якщо ви хочете дізнатися більше про це, ви можете проконсультуватися за наступним посиланням.