Nov├í vysoko rizikov├í zranite─żnos┼ą ovplyv┼łuje servery, na ktor├Żch be┼ż├ş Apache Tomcat

Ak v├í┼í webov├Ż server be┼ż├ş na Apache Tomcat, mali by ste okam┼żite nain┼ítalova┼ą najnov┼íiu dostupn├║ verziu serverovej aplik├ície, aby ste predi┼íli hackerom v neopr├ívnenej kontrole nad ┼łou.

├üno, je to mo┼żn├ę, preto┼że v┼íetky verzie (9.x /8.x /7.x /6.x) z Apache Tomcat vydan├ęho za posledn├Żch 13 rokov sa zistilo, ┼że je n├íchyln├Ż na nov├║ z├íva┼żnos┼ą (CVSS) 9,8) 'chyba ─Ź├ştania s├║borov a za─Źlenenia' – ktor├ę je mo┼żn├ę vyu┼żi┼ą v predvolenej konfigur├ícii.

Je to v┼íak viac znepokojuj├║ce, preto┼że nieko─żko v├Żhod konceptu (1, 2, 3, 4 a ─Ćal┼íie) t├íto zranite─żnos┼ą sa objavila aj na internete, ─Źo ka┼żd├ęmu u─żah─Źuje prenikanie na verejne pr├şstupn├ę zranite─żn├ę webov├ę servery.

Dabovan├Ż 'Ghostcat'a sledovan├ę ako CVE-2020-1938, chyba by mohla necha┼ą neautentizovan├Żch vzdialen├Żch ├║to─Źn├şkov ─Ź├şta┼ą obsah ─żubovo─żn├ęho s├║boru na zranite─żnom webovom serveri a z├şska┼ą citliv├ę konfigura─Źn├ę s├║bory alebo zdrojov├Ż k├│d, alebo vykona┼ą ─żubovo─żn├Ż k├│d, ak server umo┼ż┼łuje odovzd├ívanie s├║borov, ako je to zn├ízornen├ę na uk├í┼żke ni┼ż┼íie.

─îo je to Ghostcat Flaw a ako to funguje?

Pod─ża ─Ź├şnskej spolo─Źnosti zaoberaj├║cej sa kybernetickou bezpe─Źnos┼ąou Chaitin Tech, zranite─żnos┼ą spo─Ź├şva v protokole AJP softv├ęru Apache Tomcat, ktor├Ż vznik├í v d├┤sledku nespr├ívneho zaobch├ídzania s atrib├║tom.

ÔÇ×Ak web umo┼ż┼łuje pou┼ż├şvate─żom nahra┼ą s├║bor, ├║to─Źn├şk m├┤┼że najprv na server nahra┼ą s├║bor obsahuj├║ci ┼íkodliv├Ż k├│d skriptu JSP (samotn├Ż nahran├Ż s├║bor m├┤┼że ma┼ą ─żubovo─żn├Ż typ s├║boru, ako s├║ obr├ízky, oby─Źajn├ę textov├ę s├║bory at─Ć.) A potom zahrn├║┼ą nahran├Ż s├║bor vyu┼żit├şm Ghostcat, ─Źo m├┤┼że nakoniec vies┼ą k vzdialen├ęmu spusteniu k├│du, ÔÇťuviedli vedci.

Protokol Apache JServ Protocol (AJP) je v podstate optimalizovan├í verzia protokolu HTTP, ktor├í umo┼ż┼łuje spolo─Źnosti Tomcat komunikova┼ą s webov├Żm serverom Apache.
hackovanie Apache Tomcat

Hoci protokol AJP je predvolene povolen├Ż a po─Ź├║va na porte TCP 8009, je viazan├Ż na adresu IP 0,0,0,0 a m├┤┼żu by┼ą zneu┼żit├ę len na dia─żku, ak s├║ pr├şstupn├ę ned├┤veryhodn├Żm klientom.

Pod─ża vyh─żad├ívacieho n├ístroja ÔÇ×onypheÔÇť pre ├║daje inteligencie s otvoren├Żm zdrojov├Żm k├│dom a po─Ź├şta─Źovou hrozbou existuje v ─Źase p├şsania viac ako 170 000 zariaden├ş, ktor├ę AJP Connector vystavuj├║ v┼íetk├Żm prostredn├şctvom internetu.

Chyba zabezpe─Źenia Apache Tomcat: Oprava a zmiernenie

Vedci Chaitin na┼íli t├║to chybu minul├Ż mesiac a nahl├ísili ju projektu Apache Tomcat, ktor├Ż teraz vydal Apache Tomcat 9,00,31, 8,5.51 a 7,0.100 verzi├ş na opravu probl├ęmu.

Opraven├ę s├║ aj najnov┼íie vydania 2 ─Ćal┼íie probl├ęmy s pa┼íovan├şm po┼żiadaviek HTTP (CVE-2020-1935 a CVE-2019-17569) s n├şzkou z├íva┼żnos┼ąou.

Webov├Żm administr├ítorom d├┤razne odpor├║─Źame, aby aktualiz├íciu softv├ęru vykon├ívali ─Źo najsk├┤r a odpor├║─Źa sa, aby port AJP nikdy nebol vystaven├Ż ned├┤veryhodn├Żm klientom, preto┼że komunikuje cez nezabezpe─Źen├Ż kan├íl a mal by sa pou┼ż├şva┼ą v d├┤veryhodnej sieti.

Msgstr "Pou┼ż├şvatelia by si mali uvedomi┼ą, ┼że v predvolenej konfigur├ícii konektora AJP sa v syst├ęme Linux vykonalo nieko─żko zmien 9,0.31 na zv├Ż┼íenie predvolenej konfigur├ície. Je pravdepodobn├ę, ┼że pou┼ż├şvatelia upgraduj├║ na 9,0.31 alebo nov┼íie bud├║ musie┼ą v d├┤sledku toho urobi┼ą mal├ę zmeny v ich konfigur├íci├ích, ÔÇťuviedol t├şm Tomcat.

Ak v┼íak z nejak├ęho d├┤vodu nem├┤┼żete okam┼żite inovova┼ą postihnut├Ż webov├Ż server, m├┤┼żete priamo deaktivova┼ą konektor AJP alebo zmeni┼ą jeho adresu na po─Ź├║vanie na localhost.