过去13年中发布的Apache Tomcat服务器容易受到名为Ghostcat的漏洞的攻击,该漏洞可能允许黑客接管未打补丁的系统。
由中国网络安全公司Chaitin Tech发现的Ghostcat是Tomcat AJP协议中的缺陷。
AJP代表Apache JServ协议,它是二进制格式的HTTP协议的性能优化版本。Tomcat使用AJP与附近的Apache HTTPD Web服务器或其他Tomcat实例交换数据。
Tomcat的AJP连接器默认在所有Tomcat服务器上启用,并在服务器的端口8009上侦听。
GHOSTCAT可以窃取配置,工厂后门
Chaitin研究人员说,他们在AJP中发现了一个漏洞,可以利用该漏洞读取文件或将文件写入Tomcat服务器。
例如,黑客可以读取应用程序配置文件并窃取密码或API令牌,或者可以将文件写入服务器(例如后门或Web Shell)(只有在Tomcat服务器上托管的任何应用程序允许,Ghostcat的“写”攻击才可能发生)用户上传文件)。
至少可以说,Ghostcat漏洞广泛。它会影响所有6.x,7.x,8.x和9.x Tomcat分支。Apache Tomcat 6.x于2007年2月发布,这意味着过去13年中发布的所有Tomcat版本都应视为容易受到攻击。
Chaitin的研究人员说,他们已在今年1月初发现了该错误,并与Apache Tomcat项目一起工作,以便在公开之前准备好补丁程序。
已发布针对Tomcat 7.x,Tomcat 8.x和Tomcat 9.x分支的修复程序,但未针对6.x分支发布修复程序,后者已于2016年停产。Chaitin团队还发布了对其XRAY工具的更新,以便它可以扫描网络以查看是否存在易受攻击的Tomcat服务器。
GITHUB上有多个演示漏洞利用
Ghostcat漏洞标识符为CVE-2020-1938和CNVD-2020-10487(在中国内部使用)。
根据BinaryEdge搜索,当前有超过一百万个Tomcat服务器在线可用。
每能成立,验证的概念代码[ 1,2,3,4,5 ]用于测试或启动上周的bug的公开披露后,在GitHub上增殖Ghostcat攻击。
根据Snyk的说法,基于Spring Boot Java框架构建的应用程序也容易受到攻击,因为它们附带了预先包含的Tomcat服务器。对于Red Hat,Tomcat还附带了其他基于Java的框架和服务器,例如JBossWeb和JBoss EAP。
红帽建议禁用Tomcat中的AJP连接器(如果不使用)或将其绑定到本地主机端口,因为大多数AJP的使用是在群集环境中,并且没有严格的访问控制列表,绝不能在互联网上公开8009端口。
*编译:Domino
*来自:ZDNET