Yeni yüksək riskli zəiflik Apache Tomcat işləyən serverlərə təsir göstərir

Veb serveriniz Apache Tomcat-da işləyirsə, hakerlərin icazəsiz nəzarəti almaması üçün dərhal server tətbiqetməsinin son versiyasını quraşdırmalısınız.

Bəli, mümkündür, çünki bütün versiyalar (9.x /8.x /7.x /6Son 13 ildə sərbəst buraxılan Apache Tomcat'ın .x) yeni yüksək şiddətə (CVSS) həssas tapıldı 9.8) 'Faylın oxunması və daxil olma səhvləri' – standart konfiqurasiyada istifadə edilə bilər.

Bir çox sübut-anlayış istismarının olması ilə əlaqəli daha çox1, 2, 3, 4 və daha çox) bu zəiflik üçün İnternetdə də yer aldı, bu da hər kəsin əlçatan həssas veb serverlərinə hack etmələrini asanlaşdırdı.

Dublaj edilmiş 'Ghostcat'olaraq izlənildi CVE-2020-1938, qüsur, təsdiqlənməmiş, uzaqdan hücum edənlərə həssas bir veb serverdəki hər hansı bir faylın məzmununu oxumağa və həssas konfiqurasiya sənədlərini və ya mənbə kodunu əldə etməyə və ya aşağıda göstərilən bir şəkildə göstərildiyi kimi server fayl yükləməsinə icazə verərsə özbaşına kodu icra etməyə imkan verə bilər.

Ghostcat qüsuru nədir və necə işləyir?

Çin kibertəhlükəsizliyi şirkəti Chaitin Tech-ə görə, zəiflik bir atributun düzgün işləməməsi səbəbindən yaranan Apache Tomcat proqramının AJP protokolunda yer alır.

"Sayt istifadəçilərə fayl yükləməsinə icazə verərsə, təcavüzkar əvvəlcə serverə zərərli JSP skript kodu olan bir fayl yükləyə bilər (yüklənən sənəd özü şəkillər, düz mətn sənədləri və s kimi hər hansı bir fayl tipli ola bilər) və sonra daxil edə bilər. yüklənmiş faylı Ghostcat-dan istifadə edərək nəhayət uzaq kodun icrasına səbəb ola bilər "deyə tədqiqatçılar bildiriblər.

Apache JServ Protocol (AJP) protokolu, əsasən Tomcat-ın Apache veb-serveri ilə əlaqə yaratmasına imkan verən HTTP protokolunun optimallaşdırılmış bir versiyasıdır.
apache tomcat hack

AJP protokolu standart olaraq işə salınsa və TCP port 8009-da dinlənsə də, IP ünvanına bağlıdır 0.0.0.0 və yalnız etibarlı olmayan müştərilər üçün əlçatan olduqda uzaqdan istismar edilə bilər.

Açıq mənbə və kiber təhdid kəşfiyyatı məlumatları üçün bir axtarış motoru 'onyphe' görə, yazı zamanı İnternet vasitəsilə hər kəsə AJP Bağlantısını təqdim edən 170 mindən çox cihaz var.

Apache Tomcat Zəifliyi: Yama və Yüngülləşdirmə

Çaitin tədqiqatçıları bu qüsuru keçən ay tapdılar və indi Apache Tomcat'ı sərbəst buraxan Apache Tomcat layihəsinə bildirdilər 9.0.31, 8.5.51, və 7.0.100 versiyasını problemi həll etmək.

Son nəşrlər də düzəldir 2 digər aşağı şiddət HTTP tələb qaçaqmalçılığı (CVE-2020-1935 və CVE-2019-17569) problemləri.

Veb idarəçilərinə proqram yeniləmələrini ən qısa müddətdə tətbiq etmək tövsiyə olunur və AJP portunu etibarlı olmayan müştərilərə heç vaxt məruz qoymamağı tövsiyə olunur, çünki etibarlı olmayan kanal vasitəsilə əlaqə qurur və etibarlı şəbəkə daxilində istifadə edilməkdədir.

"İstifadəçilər standart AJP Bağlayıcı konfiqurasiyasında bir sıra dəyişikliklərin edildiyini qeyd etməlidirlər 9.0.31 standart konfiqurasiyanı sərtləşdirmək üçün. İstifadəçilərin yüksəltmə ehtimalı var 9.0.31 və ya daha sonra nəticə olaraq konfiqurasiyasında kiçik dəyişikliklər etməli olacaqlar "deyə Tomcat komandası bildirib.

Lakin, nədənsə təsirlənmiş veb serverinizi dərhal təkmilləşdirə bilmirsinizsə, birbaşa AJP Bağlantısını deaktiv edə bilərsiniz və ya dinləmə ünvanını localhost-a dəyişə bilərsiniz.