Active Scans for Apache Tomcat Ghostcat Vulnerability Detected, Patch Now

แพตช์ด่วน พบการสแกนหาช่องโหว่ Ghostcat สำหรับ Apache Tomcat แล้ว

ในตอนนี้พบการสแกนหาช่องโหว่สำหรับเซิร์ฟเวอร์ Apache Tomcat ที่ยังไม่ได้แก้ไขช่องโหว่ Ghostcat ที่ช่วยให้ผู้โจมตียึดเซิร์ฟเวอร์ได้จำนวนมาก

Ghostcat เป็นช่องโหว่ความเสี่ยงสูงในการเข้าถึงการอ่านไฟล์ ซึ่งถูกติดตามในชื่อ CVE-2020-1938 และมีอยู่ใน Apache JServ Protocol (AJP) ของ Apache Tomcat ตั้งแต่เวอร์ชัน 6.x จนถึง 9.x
นักพัฒนา Apache Tomcat ออกเวอร์ชัน 7.0.100, 8.5.51 และ 9.0.31 เพื่อแก้ไขช่องโหว่แล้ว อย่างไรก็ตามผู้ใช้เวอร์ชัน 6.x จะต้องอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากเวอร์ชั่นนี้ถึงจุดสิ้นสุดการ support แล้ว และไม่ได้รับการอัพเดทอีกต่อไป
Apache Tomcat 6, 7, 8 และ 9 ทั้งหมดที่มีช่องโหว่ AJP Connector จะถูกเปิดใช้งานตามค่าเริ่มต้น และ listening บนพอร์ต 8009
มีการเผยแพร่โค้ดสำหรับพิสูจน์เเนวความคิดการมีอยู่ของช่องโหว่ (POC) แล้ว Tenable กล่าวว่า POC สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่ทั้วไปตาม GitHub ทำให้ผู้โจมตีสามารถนำมาใช้ได้
หากคุณไม่สามารถอัปเดทหรืออัพเกรดเซิร์ฟเวอร์ของคุณเป็นรุ่น Tomcat ที่ได้รับการแก้ไขได้ทันที ทีมวิจัยของ Chaitin Tech แนะนำให้ปิดใช้งาน AJP Connector ทั้งหมด เว้นแต่ตั้งค่า requiredSecret สำหรับ AJP Connector ไว้ ซึ่งทำให้ต้องอาศัย credential ในการเชื่อมต่อ
ช่องโหว่ Ghostcat สามารถนำไปสู่การครอบครองเซิร์ฟเวอร์ได้ เนื่องจากTomcat ถือว่าการเชื่อมต่อ AJP มีความน่าเชื่อถือสูงกว่าการเชื่อมต่อ HTTP หรือการเชื่อมต่อที่คล้ายกัน หากใช้ช่องโหว่ดังกล่าวผู้โจมตีสามารถอ่านเนื้อหาของไฟล์การกำหนดค่าและไฟล์ source code ของ webapp ทั้งหมดที่ติดตั้งบน Tomcat ได้
นอกจากนี้หาก webapp อนุญาตให้ผู้ใช้อัปโหลดไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีรหัสสคริปต์ JSP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ก่อน ตามด้วยการโจมตีช่องโหว่ Ghostcat ซึ่งในที่สุดก็สามารถส่งผลให้สามารถทำ remote code execution ได้

ที่มา : bleepingcomputer