GhostCat - Lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ Apache Tomcat

9/27/2020 2:38:00 PM

 Được gán mã CVE-2020-1938, lỗ hổng này cho phép kẻ tấn công có thể đọc nội dung của bất kỳ tệp tin hoặc thực thi mã tùy ý từ xa trên máy chủ web của nạn nhân.


20201708-at-ta6.jpg

Các chuyên gia khuyến nghị rằng, nếu các máy chủ web đang chạy Apache Tomcat, thì người dùng cần khẩn trương cài đặt ngay phiên bản mới nhất để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép. Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua đều bị ảnh hưởng bởi lỗ hổng này. Do lỗ hổng có thể bị khai thác trong cấu hình mặc định.

Được đặt tên là Ghostcat và gán mã CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không xác thực đọc nội dung của bất kỳ tệp nào trên máy chủ web bị tấn công và lấy tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải tệp lên.
 
Theo công ty an ninh mạng Chaitin Tech (Trung Quốc), lỗ hổng này nằm trong giao thức Apache JServ Protocol (AJP) của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính. Giao thức AJP về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.
 
GhostCat - Lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ Apache Tomcat
Mặc dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng nó gán với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập từ các máy khách không tin cậy. Theo onyphe - một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có hơn 170.000 thiết bị đang mở AJP Connector cho mọi người thông qua Internet tại thời điểm này.
 
Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng 2/2020 cho dự án Apache Tomcat, dự án hiện đã phát hành các phiên bản Apache Tomcat 9.0.31, 8.5.51 và 7.0.100 để khắc phục vấn đề này. Các phiên bản mới nhất cũng bao gồm bản vá cho 2 lỗ hổng CVE-2020-1935 và CVE-2019-17569.
 
Các quản trị viên được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và không công khai cổng AJP cho các máy khách không tin cậy. Bởi AJP giao tiếp qua kênh không an toàn và chỉ nên sử dụng trong một mạng tin cậy.
 
"Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng, khi người dùng nâng cấp lên phiên bản Apache Tomcat 9.0.31 trở lên, thì sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của họ", đại diện dự án Apache Tomcat cho biết.
 
Tuy nhiên, nếu vì một lý do nào đó, người dùng không thể nâng cấp máy chủ web ngay lập tức, thì cũng có thể vô hiệu hóa AJP Connector hoặc thay đổi địa chỉ IP mặc định thành localhost.

Anh Nguyễn (The Hacker News)