Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Kritická zraniteľnosť Ghostcat zasahuje Apache Tomcat

10.03.2020
Zraniteľnosť CVE-2020-1938 ovplyvňuje Apache Tomcat vo verziách 6 až 9, vydaných za posledných 13 rokov. Umožňuje vzdialené čítanie súborov webových aplikácií na Tomcat serveri a pre webové aplikácie, ktoré umožňujú ukladanie súborov, je možné vložiť súbory s JSP kódom priamo do aplikácie. Pre verzie 7 až 9 je vydaná bezpečnostná aktualizácia, verzia 6 už nie je podporovaná. Útočníci už aktívne skenujú zraniteľné servery.

 

Dôsledky

  • Čítanie súborov web aplikácie a vkladanie skriptov do aplikácie
  • Vloženie malvéru do webovej aplikácie
  • Vzdialené vykonávanie kódu

Opis činnosti
CVE-2020-1938

Zraniteľnosť vzniká kvôli nevhodnému narábaniu s atribútmi a dotýka sa Apache Tomcat AJP protokolu, ktorý slúži na preposielanie prichádzajúcich požiadaviek z Apache web servera na aplikačný server. AJP Connector, ktorý počúva na porte 8009, môže byť vďaka chybe zneužitý na vzdialené čítanie súborov z priečinkov webovej aplikácie bežiacej na zraniteľnom Tomcat serveri. V týchto priečinkoch sa nachádzajú zdrojové kódy a konfiguračné súbory webových aplikácií ktoré bežia na serveri. Ak aplikácia dovoľuje pridávanie súborov, útočník môže vďaka tejto zraniteľnosti pridať súbor, ktorý nahral na server priamo do aplikácie, čím zabezpečí jeho spustenie. Útočník môže poslať špeciálne upravenú AJP požiadavku a pridať napríklad JSP skript, ktorý mu umožní vzdialené vykonávanie kódu na serveri. Skript možno pridať do aplikácie z rôznych typov súborov (obrázok, text).

Zraniteľnosť objavili výskumníci z čínskej spoločnosti Chaitin Tech 3. januára 2020. Verejne dostupných je niekoľko ukážkových kódov pre jej zneužitie. Momentálne už prebiehajú masívne skeny útočníkov ktorí hľadajú zraniteľné servery. Zraniteľnosť bola prítomná na Tomcat serveroch 13 rokov.

Zraniteľné systémy
Apache Tomcat 6, 7, 8, 9

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania
Bezodkladná aktualizácia Apache Tomcat. Verziu 9 je potrebné aktualizovať aspoň na 9.0.31, verziu 8 na 8.5.51 a verziu 7 na 7.0.100. Aktualizácie obsahujú aj zmeny základnej konfigurácie Tomcat servera s cieľom zvýšenia bezpečnosti. Verzia 6 už nie je podporovaná a aktualizáciu nedostane, je preto potrebné prejsť na vyššiu verziu Apache Tomcat. Pokiaľ nemožno ihneď aktualizovať, je potrebné vypnúť AJP Connector, čo bude mať dopad na výkon servera.

Odkazy
https://gbhackers.com/ghostcat-tomcat-bug/
https://securityaffairs.co/wordpress/98654/hacking/ghostcat-vulnerability.html
https://www.securityweek.com/apache-tomcat-affected-serious-ghostcat-vulnerability
https://www.securitynewspaper.com/2020/02/21/zero-day-vulnerability-allows-remote-code-execution-in-apache-tomcat-apj-cnvd-2020-10487-cve-2020-1938/
https://www.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-vulnerability-cnvd-2020-10487
https://www.avertium.com/cve-2020-1938-ghostcat-vulnerability/
https://www.chaitin.cn/en/ghostcat
https://securityaffairs.co/wordpress/98830/hacking/ghostcat-mass-scanning.html
https://www.bleepingcomputer.com/news/security/active-scans-for-apache-tomcat-ghostcat-vulnerability-detected-patch-now/
https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html



<< zoznam oznámení