A kínai székhelyű Chaitin Tech kiberbiztonsági cég talált egy komoly sebezhetőséget (CVS pontszáma 9.3), ami az elmúlt 13 évben megjelent összes Apache Tomcat verziót, tehát a (9.x/8.x/7.x/6.x) főverziókat érinti.
A nyilvánosan elérhető, default beállításokat alkalmazó szervereken lehet ugyanis fájlt olvasást és beszúrást (file read and inclusion) végezni. A sebezhetőséget GHOSTCAT-nek keresztelték el, hivatalosan a CVE-2020-1938 számot viseli.
Tovább súlyosbítja a helyzetet, hogy már több POC is kering a neten amik ezt a sebezhetőséget használják ki pl (1, 2, 3, 4, 5).
A sebezhetőség lehetővé teszi, hogy jogosulatlan távoli felhasználók bármilyen a sebezhető szerveren lévő fájl tartalmát olvassák, így hozzáférve szerver beállításokhoz, érzékeny információkhoz, de távoli kódfuttatást is lehetővé tesz a Ghostcat.
Hogyan működik?
Az Apache JServ Protocol (AJP) protokoll a HTTP egy optimalizált változata, ami lehetővé teszi a Tomcat számára, hogy az Apache szerverrel kommunikáljon.
Alapértelmezetten a 8089-es TCP porton figyel, ami a 0.0.0.0 IP címhez van hozzárendelve, és ez könnyedén kihasználható, ha nem megbízható forrásról is rá lehet csatlakozni a szerverre.
Jelen pillanatban úgy 170ezer eszköz van kitéve a sebezhetőségnek.
A Chaitin Tech felvette a kapcsolatot a fejlesztőkkel, akik kiadtak 3 patchelt verziót is: a 9.0.31, 8.5.51 és a 7.0.100. Ezek további HTTP sebezhetőségek patcheit is tartalmazzák. A fejlesztők azt javasolják azoknak a szerverüzemeltetőknek akik érintettek, hogy mihamarabb telepítsék fel a patchelt verziót.
Amennyiben mégsem lehetséges a frissítés, még mindig ki lehet kapcsolni az AJP-t, vagy meg kell változtatni a default beállításokat.