Als uw webserver op Apache Tomcat draait, moet u onmiddellijk de nieuwste beschikbare versie van de serverapplicatie installeren om te voorkomen dat hackers er ongeoorloofde controle over overnemen.
Ja, dat is mogelijk omdat alle versies (9.x/8.x/7.x/6.x) van de Apache Tomcat die in de afgelopen 13 jaar zijn uitgebracht kwetsbaar zijn bevonden voor een nieuwe 'high-ernst'bug voor het lezen en opnemen van bestanden'—die kan worden misbruikt in de standaardconfiguratie.
Maar het is zorgwekkender omdat verschillende proof-of-concept-exploits (1, 2, 3, 4) voor deze kwetsbaarheid zijn ook op internet opgedoken, waardoor het voor iedereen gemakkelijk is om openbaar toegankelijke kwetsbare webservers te hacken.
Dubbed 'Spookkat'en bijgehouden als CVE-2020-1938, kan de fout ervoor zorgen dat niet-geauthenticeerde, externe aanvallers de inhoud van elk bestand op een kwetsbare webserver kunnen lezen en gevoelige configuratiebestanden of broncode kunnen verkrijgen, of willekeurige code kunnen uitvoeren als de server het uploaden van bestanden toestaat, zoals weergegeven in een demonstratie hieronder.
Wat is Ghostcat Flaw en hoe werkt het?
Dat meldt een Chinees cybersecuritybedrijf Chaitin-technologie, zit de kwetsbaarheid in het AJP-protocol van Apache Tomcat-software die ontstaat door onjuiste omgang met een attribuut.
“Als de site gebruikers toestaat een bestand te uploaden, kan een aanvaller eerst een bestand met kwaadaardige JSP-scriptcode naar de server uploaden (het geüploade bestand zelf kan van elk bestandstype zijn, zoals afbeeldingen, platte tekstbestanden, enz.), en vervolgens het geüploade bestand door gebruik te maken van de Ghostcat, wat uiteindelijk kan resulteren in het uitvoeren van code op afstand”, aldus de onderzoekers.
Het Apache JServ Protocol (AJP)-protocol is in feite een geoptimaliseerde versie van het HTTP-protocol waarmee Tomcat kan communiceren met een Apache-webserver.
Hoewel het AJP-protocol standaard is ingeschakeld en naar TCP-poort 8009 luistert, is het gebonden aan IP-adres 0.0.0.0 en kan het alleen op afstand worden misbruikt als het toegankelijk is voor niet-vertrouwde clients.
Volgens 'onyphe', een zoekmachine voor open-source- en cyberdreigingsgegevens, zijn er meer dan 170,000-apparaten die op het moment van schrijven een AJP-connector voor iedereen via internet toegankelijk maken.
Kwetsbaarheid in Apache Tomcat: patch en beperking
Chaitin-onderzoekers hebben deze fout vorige maand ontdekt en gerapporteerd aan het Apache Tomcat-project, dat nu is vrijgegeven Apache Tomcat 9.0.31, 8.5.51 en 7.0.100 versies om het probleem te verhelpen.
De nieuwste releases repareren ook twee andere problemen met het smokkelen van HTTP-verzoeken met een lage ernst (CVE-2-2020 en CVE-1935-2019).
Webbeheerders wordt ten zeerste aangeraden de software-updates zo snel mogelijk door te voeren en wordt geadviseerd om de AJP-poort nooit bloot te stellen aan niet-vertrouwde clients, omdat deze via een onveilig kanaal communiceert en bedoeld is om binnen een vertrouwd netwerk te worden gebruikt.
“Gebruikers moeten er rekening mee houden dat er in 9.0.31 een aantal wijzigingen zijn aangebracht in de standaard AJP Connector-configuratie om de standaardconfiguratie te versterken. Het is waarschijnlijk dat gebruikers die upgraden naar 9.0.31 of hoger als gevolg daarvan kleine wijzigingen in hun configuraties moeten aanbrengen”, aldus het Tomcat-team.
Als u om welke reden dan ook de betrokken webserver niet onmiddellijk kunt upgraden, kunt u de AJP Connector ook rechtstreeks uitschakelen of het luisteradres wijzigen in localhost.
Bron: http://feedproxy.google.com/~r/TheHackersNews/~3/6hrVzZ1lzyw/ghostcat-new-high-risk-vulnerability.html
