Lỗ hổng rủi ro cao mới ảnh hưởng đến các máy chủ chạy Apache Tomcat

Nếu máy chủ web của bạn đang chạy trên Apache Tomcat, bạn nên cài đặt ngay phiên bản mới nhất của ứng dụng máy chủ để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép đối với nó.

Có, điều đó là có thể bởi vì tất cả các phiên bản (9.x /8.x /7.x /6.x) của Apache Tomcat được phát hành trong 13 năm qua đã được tìm thấy dễ bị tổn thương ở mức độ nghiêm trọng mới (CVSS 9.8) 'lỗi đọc và bao gồm tệp' – có thể được khai thác trong cấu hình mặc định.

Nhưng nó liên quan nhiều hơn bởi vì một số khai thác bằng chứng khái niệm (1, 2, 3, 4 và hơn thế nữa) cho lỗ hổng này cũng đã xuất hiện trên Internet, giúp mọi người dễ dàng xâm nhập vào các máy chủ web dễ bị tấn công công khai.

Được mệnh danh là 'Con mèo'và được theo dõi là CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không được xác thực, đọc nội dung của bất kỳ tệp nào trên máy chủ web dễ bị tấn công và lấy các tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải lên tệp, như được hiển thị trong bản demo bên dưới.

Lỗ hổng Ghostcat là gì và nó hoạt động như thế nào?

Theo công ty an ninh mạng Trung Quốc Chaitin Tech, lỗ hổng này nằm trong giao thức AJP của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính.

"Nếu trang web cho phép người dùng tải lên tệp, trước tiên kẻ tấn công có thể tải lên tệp chứa mã tập lệnh JSP độc hại lên máy chủ (bản thân tệp đã tải lên có thể là bất kỳ loại tệp nào, chẳng hạn như hình ảnh, tệp văn bản thuần túy, v.v.), sau đó bao gồm các nhà nghiên cứu cho biết, tập tin được tải lên bằng cách khai thác Ghostcat, cuối cùng có thể dẫn đến việc thực thi mã từ xa ", các nhà nghiên cứu cho biết.

Giao thức Apache JServ Protocol (AJP) về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.

Mặc dù giao thức AJP được bật theo mặc định và lắng nghe tại cổng TCP 8009, nhưng nó bị ràng buộc với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập vào các khách hàng không tin cậy.

Theo 'onyphe, một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có hơn 170.000 thiết bị đang hiển thị Trình kết nối AJP cho mọi người thông qua Internet tại thời điểm viết.

Lỗ hổng Apache Tomcat: Bản vá và giảm thiểu

Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng trước cho dự án Apache Tomcat, người hiện đã phát hành Apache Tomcat 9.0.31, 8.5.51, và 7.0.100 phiên bản để khắc phục vấn đề.

Các bản phát hành mới nhất cũng sửa 2 các vấn đề buôn lậu yêu cầu HTTP mức độ nghiêm trọng thấp khác (CVE-2020-1935 và CVE-2019-17569).

Các quản trị viên web được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và khuyên không bao giờ để lộ cổng AJP cho các máy khách không tin cậy vì nó giao tiếp qua kênh không an toàn và có nghĩa là được sử dụng trong một mạng đáng tin cậy.

"Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình Trình kết nối AJP mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng người dùng nâng cấp lên 9.0Kết quả .31 trở lên sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của chúng do đó, "nhóm Tomcat nói.

Tuy nhiên, nếu vì một lý do nào đó, bạn không thể nâng cấp máy chủ web bị ảnh hưởng của mình ngay lập tức, bạn cũng có thể vô hiệu hóa trực tiếp Trình kết nối AJP hoặc thay đổi địa chỉ nghe của nó thành localhost.