Szinte az összes APACHE TOMCAT verzió érintett az új sebezhetőségben – GHOSTCAT

A kínai székhelyű Chaitin Tech kiberbiztonsági cég talált egy komoly sebezhetőséget (CVS pontszáma 9.3), ami az elmúlt 13 évben megjelent összes Apache Tomcat verziót, tehát a (9.x/8.x/7.x/6.x) főverziókat érinti.

A nyilvánosan elérhető, default beállításokat alkalmazó szervereken lehet ugyanis fájlt olvasást és beszúrást (file read and inclusion) végezni. A sebezhetőséget GHOSTCAT-nek keresztelték el, hivatalosan a CVE-2020-1938 számot viseli.

Tovább súlyosbítja a helyzetet, hogy már több POC is kering a neten amik ezt a sebezhetőséget használják ki pl (1, 2, 3, 4, 5).

A sebezhetőség lehetővé teszi, hogy jogosulatlan távoli felhasználók bármilyen a sebezhető szerveren lévő fájl tartalmát olvassák, így hozzáférve szerver beállításokhoz, érzékeny információkhoz, de távoli kódfuttatást is lehetővé tesz a Ghostcat.

Hogyan működik?

Az Apache JServ Protocol (AJP) protokoll a HTTP egy optimalizált változata, ami lehetővé teszi a Tomcat számára, hogy az Apache szerverrel kommunikáljon.

Alapértelmezetten a 8089-es TCP porton figyel, ami a 0.0.0.0 IP címhez van hozzárendelve, és ez könnyedén kihasználható, ha nem megbízható forrásról is rá lehet csatlakozni a szerverre.

A támadás egy változatát bemutató GIF animáció (demo)

Jelen pillanatban úgy 170ezer eszköz van kitéve a sebezhetőségnek.

A Chaitin Tech felvette a kapcsolatot a fejlesztőkkel, akik kiadtak 3 patchelt verziót is: a 9.0.31, 8.5.51 és a 7.0.100. Ezek további HTTP sebezhetőségek patcheit is tartalmazzák. A fejlesztők azt javasolják azoknak a szerverüzemeltetőknek akik érintettek, hogy mihamarabb telepítsék fel a patchelt verziót.

Amennyiben mégsem lehetséges a frissítés, még mindig ki lehet kapcsolni az AJP-t, vagy meg kell változtatni a default beállításokat.

Forrás