Ak váš webový server beží na Apache Tomcat, mali by ste okamžite nainštalovať najnovšiu dostupnú verziu serverovej aplikácie, aby ste predišli hackerom v neoprávnenej kontrole nad ňou.
Áno, je to možné, pretože všetky verzie (9.x /8.x /7.x /6.x) z Apache Tomcat vydaného za posledných 13 rokov sa zistilo, že je náchylný na novú závažnosť (CVSS) 9,8) 'chyba čítania súborov a začlenenia' – ktoré je možné využiť v predvolenej konfigurácii.
Je to však viac znepokojujúce, pretože niekoľko výhod konceptu (1, 2, 3, 4 a ďalšie) táto zraniteľnosť sa objavila aj na internete, čo každému uľahčuje prenikanie na verejne prístupné zraniteľné webové servery.
Dabovaný 'Ghostcat'a sledované ako CVE-2020-1938, chyba by mohla nechať neautentizovaných vzdialených útočníkov čítať obsah ľubovoľného súboru na zraniteľnom webovom serveri a získať citlivé konfiguračné súbory alebo zdrojový kód, alebo vykonať ľubovoľný kód, ak server umožňuje odovzdávanie súborov, ako je to znázornené na ukážke nižšie.
Čo je to Ghostcat Flaw a ako to funguje?
Podľa čínskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou Chaitin Tech, zraniteľnosť spočíva v protokole AJP softvéru Apache Tomcat, ktorý vzniká v dôsledku nesprávneho zaobchádzania s atribútom.
„Ak web umožňuje používateľom nahrať súbor, útočník môže najprv na server nahrať súbor obsahujúci škodlivý kód skriptu JSP (samotný nahraný súbor môže mať ľubovoľný typ súboru, ako sú obrázky, obyčajné textové súbory atď.) A potom zahrnúť nahraný súbor využitím Ghostcat, čo môže nakoniec viesť k vzdialenému spusteniu kódu, “uviedli vedci.
Protokol Apache JServ Protocol (AJP) je v podstate optimalizovaná verzia protokolu HTTP, ktorá umožňuje spoločnosti Tomcat komunikovať s webovým serverom Apache.
Hoci protokol AJP je predvolene povolený a počúva na porte TCP 8009, je viazaný na adresu IP 0,0,0,0 a môžu byť zneužité len na diaľku, ak sú prístupné nedôveryhodným klientom.
Podľa vyhľadávacieho nástroja „onyphe“ pre údaje inteligencie s otvoreným zdrojovým kódom a počítačovou hrozbou existuje v čase písania viac ako 170 000 zariadení, ktoré AJP Connector vystavujú všetkým prostredníctvom internetu.
Chyba zabezpečenia Apache Tomcat: Oprava a zmiernenie
Vedci Chaitin našli túto chybu minulý mesiac a nahlásili ju projektu Apache Tomcat, ktorý teraz vydal Apache Tomcat 9,00,31, 8,5.51 a 7,0.100 verzií na opravu problému.
Opravené sú aj najnovšie vydania 2 ďalšie problémy s pašovaním požiadaviek HTTP (CVE-2020-1935 a CVE-2019-17569) s nízkou závažnosťou.
Webovým administrátorom dôrazne odporúčame, aby aktualizáciu softvéru vykonávali čo najskôr a odporúča sa, aby port AJP nikdy nebol vystavený nedôveryhodným klientom, pretože komunikuje cez nezabezpečený kanál a mal by sa používať v dôveryhodnej sieti.
Msgstr "Používatelia by si mali uvedomiť, že v predvolenej konfigurácii konektora AJP sa v systéme Linux vykonalo niekoľko zmien 9,0.31 na zvýšenie predvolenej konfigurácie. Je pravdepodobné, že používatelia upgradujú na 9,0.31 alebo novšie budú musieť v dôsledku toho urobiť malé zmeny v ich konfiguráciách, “uviedol tím Tomcat.
Ak však z nejakého dôvodu nemôžete okamžite inovovať postihnutý webový server, môžete priamo deaktivovať konektor AJP alebo zmeniť jeho adresu na počúvanie na localhost.
