Nếu máy chủ web của bạn đang chạy trên Apache Tomcat, bạn nên cài đặt ngay phiên bản mới nhất của ứng dụng máy chủ để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép đối với nó.
Có, điều đó là có thể bởi vì tất cả các phiên bản (9.x / 8.x / 7.x / 6.x) của Tomcat Apache được phát hành trong 13 năm qua đã bị phát hiện dễ bị tổn thương ở mức độ nghiêm trọng mới (CVSS 9.8) ‘tập tin đọc và bao gồm lỗi‘Bạn có thể khai thác trong cấu hình mặc định.
Nhưng nó liên quan nhiều hơn bởi vì một số khai thác bằng chứng khái niệm (1, 2, 3, 4 và hơn) cho lỗ hổng này cũng đã được xuất hiện trên Internet, giúp mọi người dễ dàng xâm nhập vào các máy chủ web dễ bị tấn công công khai.
Được mệnh danh là ‘Con mèo‘và được theo dõi là CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không được xác thực, đọc nội dung của bất kỳ tệp nào trên máy chủ web dễ bị tấn công và có được các tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải lên tệp, như được hiển thị trong bản giới thiệu phía dưới.
Lỗ hổng Ghostcat là gì và nó hoạt động như thế nào?
Theo công ty an ninh mạng Trung Quốc Công nghệ Chaitin, lỗ hổng nằm trong giao thức AJP của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính.
“Nếu trang web cho phép người dùng tải lên tệp, trước tiên kẻ tấn công có thể tải lên tệp chứa mã tập lệnh JSP độc hại lên máy chủ (bản thân tệp đã tải lên có thể là bất kỳ loại tệp nào, chẳng hạn như hình ảnh, tệp văn bản thuần túy, v.v.), sau đó bao gồm các nhà nghiên cứu cho biết, tập tin được tải lên bằng cách khai thác Ghostcat, cuối cùng có thể dẫn đến việc thực thi mã từ xa “, các nhà nghiên cứu cho biết.
Giao thức Apache JServ Protocol (AJP) về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.
Mặc dù giao thức AJP được bật theo mặc định và lắng nghe tại cổng TCP 8009, nhưng nó bị ràng buộc với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập vào các máy khách không tin cậy.
Theo ‘onyphe’, một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có nhiều hơn 170.000 thiết bị đang hiển thị Trình kết nối AJP cho mọi người thông qua Internet tại thời điểm viết bài.
Lỗ hổng Apache Tomcat: Bản vá và giảm thiểu
Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng trước cho dự án Apache Tomcat, người hiện đã phát hành Mèo Tom Apache 9.0.31, Phiên bản 8.5.51 và 7.0.100 để khắc phục sự cố.
Các bản phát hành mới nhất cũng khắc phục 2 sự cố buôn lậu yêu cầu HTTP mức độ nghiêm trọng thấp khác (CVE-2020-1935 và CVE-2019-17569).
Các quản trị viên web được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và khuyên không bao giờ để lộ cổng AJP cho các máy khách không tin cậy vì nó giao tiếp qua kênh không an toàn và có nghĩa là được sử dụng trong một mạng đáng tin cậy.
“Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng người dùng nâng cấp lên 9.0.31 trở lên sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của họ như một kết quả, “nhóm Tomcat nói.
Tuy nhiên, nếu vì lý do nào đó, bạn không thể nâng cấp máy chủ web bị ảnh hưởng của mình ngay lập tức, bạn cũng có thể vô hiệu hóa Trình kết nối AJP trực tiếp hoặc thay đổi địa chỉ nghe của nó thành localhost.
