Se o seu servidor da Web estiver sendo executado no Apache Tomcat, você deve instalar imediatamente a versão mais recente disponível do aplicativo do servidor para evitar que hackers assumam o controle não autorizado sobre ele.

Sim, isso é possível porque todas as versões (9.x/8.x/7.x/6.x) do Apache Tomcat lançadas nos últimos 13 anos foram consideradas vulneráveis ​​a um novo 'erro de leitura e inclusão de arquivo'—que pode ser explorado na configuração padrão.

Mas é mais preocupante porque várias explorações de prova de conceito (1, 2, 3, 4) para essa vulnerabilidade também surgiram na Internet, tornando mais fácil para qualquer pessoa invadir servidores da Web vulneráveis ​​publicamente acessíveis.

Apelidado 'gato fantasma'e rastreado como CVE-2020-1938, a falha pode permitir que invasores remotos não autenticados leiam o conteúdo de qualquer arquivo em um servidor Web vulnerável e obtenham arquivos de configuração confidenciais ou código-fonte ou executem código arbitrário se o servidor permitir o upload de arquivos, conforme mostrado em um demonstração abaixo.

O que é falha do Ghostcat e como funciona?

De acordo com a empresa chinesa de segurança cibernética Chaitin Tech, a vulnerabilidade reside no protocolo AJP do software Apache Tomcat que surge devido ao manuseio inadequado de um atributo.

“Se o site permitir que os usuários façam upload de arquivos, um invasor pode primeiro fazer upload de um arquivo contendo código de script JSP malicioso para o servidor (o próprio arquivo carregado pode ser de qualquer tipo de arquivo, como imagens, arquivos de texto simples, etc.) o arquivo carregado explorando o Ghostcat, que finalmente pode resultar na execução remota de código”, disseram os pesquisadores.

O protocolo Apache JServ Protocol (AJP) é basicamente uma versão otimizada do protocolo HTTP para permitir que o Tomcat se comunique com um servidor web Apache.

Embora o protocolo AJP venha ativado por padrão e escute na porta TCP 8009, ele está vinculado ao endereço IP 0.0.0.0 e só pode ser explorado remotamente quando acessível a clientes não confiáveis.
De acordo com o 'onyphe', um mecanismo de busca de dados de inteligência de código aberto e ameaças cibernéticas, há mais de Dispositivos 170,000 que estão expondo um Conector AJP a todos pela Internet, no momento em que escrevo.

Vulnerabilidade do Apache Tomcat: correção e mitigação

Os pesquisadores do Chaitin encontraram e relataram essa falha no mês passado ao projeto Apache Tomcat, que agora lançou ApacheTomcat 9.0.31, 8.5.51 e 7.0.100 para corrigir o problema.

As versões mais recentes também corrigem 2 outros problemas de contrabando de solicitação HTTP de baixa gravidade (CVE-2020-1935 e CVE-2019-17569).

Os administradores da Web são fortemente recomendados para aplicar as atualizações de software o mais rápido possível e aconselhados a nunca expor a porta AJP a clientes não confiáveis, porque ela se comunica pelo canal inseguro e deve ser usada em uma rede confiável.

“Os usuários devem observar que várias alterações foram feitas na configuração padrão do AJP Connector em 9.0.31 para fortalecer a configuração padrão. É provável que os usuários que atualizarem para 9.0.31 ou posterior precisem fazer pequenas alterações em suas configurações como resultado”, disse a equipe do Tomcat.

No entanto, se, por algum motivo, você não puder atualizar seu servidor da Web afetado imediatamente, também poderá desativar o conector AJP diretamente ou alterar seu endereço de escuta para o host local.

Fonte: http://feedproxy.google.com/~r/TheHackersNews/~3/6hrVzZ1lzyw/ghostcat-new-high-risk-vulnerability.html