WebサーバーがApache Tomcatで実行されている場合は、サーバーアプリケーションの最新バージョンをすぐにインストールして、ハッカーがWebアプリケーションを不正に制御しないようにする必要があります。

はい。過去9年間にリリースされたすべてのバージョン（8.x / 7.x / 6.x / 13.x）のApache Tomcatが、新しい重大度の脆弱性に脆弱であることが判明しているため、可能です。ファイルの読み取りと組み込みのバグ'—これは、デフォルトの構成で利用できます。

しかし、いくつかの概念実証のエクスプロイト（1, 2, 3, 4）この脆弱性はインターネットにも表面化しているため、誰でも簡単に公にアクセス可能な脆弱なWebサーバーに侵入できます。

吹き替えゴーストキャット'として追跡 CVE-2020-1938、この脆弱性により、認証されていないリモートの攻撃者が脆弱なWebサーバー上のファイルのコンテンツを読み取って機密の構成ファイルまたはソースコードを取得したり、サーバーがファイルのアップロードを許可している場合は任意のコードを実行したりする可能性があります。 デモ を参照してください。

Ghostcatの欠陥とは何ですか？

中国のサイバーセキュリティ会社によると チャイティンテック、この脆弱性は、属性の不適切な処理が原因で発生するApache TomcatソフトウェアのAJPプロトコルに存在します。

「サイトがユーザーにファイルのアップロードを許可する場合、攻撃者はまず悪意のあるJSPスクリプトコードを含むファイルをサーバーにアップロードし（アップロードされたファイル自体は、画像、プレーンテキストファイルなど、任意のファイルタイプである可能性があります）、次にGhostcatを利用してアップロードされたファイルは、最終的にリモートでコードが実行される可能性があります」と研究者たちは述べた。

Apache JServプロトコル（AJP）プロトコルは基本的に、TomcatがApache Webサーバーと通信できるようにするHTTPプロトコルの最適化バージョンです。

AJPプロトコルはデフォルトで有効になり、TCPポート8009でリッスンしますが、IPアドレス0.0.0.0にバインドされており、信頼できないクライアントがアクセスできる場合にのみリモートで利用できます。
オープンソースおよびサイバー脅威インテリジェンスデータの検索エンジンである「onyphe」によると、 170,000デバイス 執筆時点で、インターネットを介してすべての人にAJPコネクタを公開しています。

Apache Tomcatの脆弱性：パッチおよび緩和策

Chaitinの研究者は先月、この欠陥を発見し、Apache Tomcatプロジェクトに報告しました。 アパッチ・トムキャット9.0.31、8.5.51、7.0.100のバージョンで問題を修正します。

最新のリリースでは、その他の2つの重大度の低いHTTPリクエストの密輸（CVE-2020-1935およびCVE-2019-17569）の問題も修正されています。

Web管理者は、ソフトウェアの更新をできるだけ早く適用することを強くお勧めします。AJPポートは、安全でないチャネルを介して通信し、信頼できるネットワーク内で使用することを目的としているため、信頼できないクライアントに決して公開しないようにアドバイスします。

「ユーザーは、デフォルトの構成を強化するために、9.0.31でデフォルトのAJPコネクタ構成にいくつかの変更が加えられたことに注意する必要があります。 9.0.31以降にアップグレードするユーザーは、結果として設定に小さな変更を加える必要がある可能性があります」とTomcatチームは言いました。

ただし、何らかの理由で影響を受けるWebサーバーをすぐにアップグレードできない場合は、AJPコネクタを直接無効にするか、リスニングアドレスをローカルホストに変更することもできます。

出典：http://feedproxy.google.com/~r/TheHackersNews/~3/6hrVzZ1lzyw/ghostcat-new-high-risk-vulnerability.html