หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์ความปลอดภัยใน Apache โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีสามารถทำให้เกิด Denial of Service (DoS) บนระบบได้ ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-13934 และ CVE-2020-13935

ช่องโหว่มีผลกระทบกับ Apache Tomcat 10.0.0-M1 ถึง 10.0.0-M6, Apache Tomcat 9.0.0.M5 ถึง 9.0.36, Apache Tomcat 8.5.1 to 8.5.56 และ Apache Tomcat 7.0.27 ถึง 7.0.104

ในการบรรเทาความเสี่ยงนั้นผู้ดูแลระบบควรทำการอัพเดต Apache Tomcat ให้เป็นเวอร์ชั่น 10.0.0-M7 หรือมากกว่า, 9.0.37 หรือมากกว่า, 8.5.57 หรือมากกว่า

ที่มา:

us-cert.

แพตช์ด่วน พบการสแกนหาช่องโหว่ Ghostcat สำหรับ Apache Tomcat แล้ว

ในตอนนี้พบการสแกนหาช่องโหว่สำหรับเซิร์ฟเวอร์ Apache Tomcat ที่ยังไม่ได้แก้ไขช่องโหว่ Ghostcat ที่ช่วยให้ผู้โจมตียึดเซิร์ฟเวอร์ได้จำนวนมาก

Ghostcat เป็นช่องโหว่ความเสี่ยงสูงในการเข้าถึงการอ่านไฟล์ ซึ่งถูกติดตามในชื่อ CVE-2020-1938 และมีอยู่ใน Apache JServ Protocol (AJP) ของ Apache Tomcat ตั้งแต่เวอร์ชัน 6.x จนถึง 9.x
นักพัฒนา Apache Tomcat ออกเวอร์ชัน 7.0.100, 8.5.51 และ 9.0.31 เพื่อแก้ไขช่องโหว่แล้ว อย่างไรก็ตามผู้ใช้เวอร์ชัน 6.x จะต้องอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากเวอร์ชั่นนี้ถึงจุดสิ้นสุดการ support แล้ว และไม่ได้รับการอัพเดทอีกต่อไป
Apache Tomcat 6, 7, 8 และ 9 ทั้งหมดที่มีช่องโหว่ AJP Connector จะถูกเปิดใช้งานตามค่าเริ่มต้น และ listening บนพอร์ต 8009
มีการเผยแพร่โค้ดสำหรับพิสูจน์เเนวความคิดการมีอยู่ของช่องโหว่ (POC) แล้ว Tenable กล่าวว่า POC สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่ทั้วไปตาม GitHub ทำให้ผู้โจมตีสามารถนำมาใช้ได้
หากคุณไม่สามารถอัปเดทหรืออัพเกรดเซิร์ฟเวอร์ของคุณเป็นรุ่น Tomcat ที่ได้รับการแก้ไขได้ทันที ทีมวิจัยของ Chaitin Tech แนะนำให้ปิดใช้งาน AJP Connector ทั้งหมด เว้นแต่ตั้งค่า requiredSecret สำหรับ AJP Connector ไว้ ซึ่งทำให้ต้องอาศัย credential ในการเชื่อมต่อ
ช่องโหว่ Ghostcat สามารถนำไปสู่การครอบครองเซิร์ฟเวอร์ได้ เนื่องจากTomcat ถือว่าการเชื่อมต่อ AJP มีความน่าเชื่อถือสูงกว่าการเชื่อมต่อ HTTP หรือการเชื่อมต่อที่คล้ายกัน หากใช้ช่องโหว่ดังกล่าวผู้โจมตีสามารถอ่านเนื้อหาของไฟล์การกำหนดค่าและไฟล์ source code ของ webapp ทั้งหมดที่ติดตั้งบน Tomcat ได้
นอกจากนี้หาก webapp อนุญาตให้ผู้ใช้อัปโหลดไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีรหัสสคริปต์ JSP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ก่อน ตามด้วยการโจมตีช่องโหว่ Ghostcat ซึ่งในที่สุดก็สามารถส่งผลให้สามารถทำ remote code execution ได้

ที่มา : bleepingcomputer

Apache Tomcat ออกอัปเดตเพื่อแก้ไขช่องโหว่ที่ทำให้สามารถถูกรันคำสั่งอันตรายจากระยะไกลได้

Apache Software Foundation ออกอัปเดตเพื่อแก้ไขช่องโหว่สำคัญบน Apache Tomcat เป็นการแก้ไขช่องโหว่ CVE-2019-0232 ซึ่งเป็นช่องโหว่ใน CGI Servlet ของ Tomcat ในกรณีที่ Tomcat ทำงานบนระบบปฏิบัติการณ์ Windows ที่มีการตั้งค่า enableCmdLineArguments ผู้โจมตีจะสามารถส่งคำสั่งไปยัง Servlet ซึ่งจะส่งคำสังดังกล่าวต่อไปยังระบบปฏิบัติการณ์ Windows ได้ (OS command injection)

โดย Apache Tomcat ในบางรุ่นจะมีการปิดการตั้งค่า enableCmdLineArguments ไว้เป็นค่าเริ่มต้น ทำให้มีเพียง Apache Tomcat บางรุ่นเท่านั้นที่ได้รับผลกระทบดังกล่าว โดยรุ่นที่ได้รับผลกระทบได้แก่
Apache Tomcat รุ่น 9.0.0.M1 ถึง 9.0.17
Apache Tomcat รุ่น 8.5.0 ถึง 8.5.39
Apache Tomcat รุ่น 7.0.0 ถึง 7.0.93

Apache Software Foundation ได้ออกคำแนะนำสำหรับลดความเสี่ยงจากช่องโหว่ดังกล่าวว่า ใช้อัปเดต Apache Tomcat เป็นรุ่นที่ไม่ได้รับผลกระทบ คือ
อัปเดตเป็น Apache Tomcat รุ่น 9.0.18 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 8.5.40 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 7.0.93 เป็นต้นไป
หรือในกรณีที่ไม่สามารถอัปเดตได้ ให้ตั้งค่า enableCmdLineArguments เป็น false

ที่มา thehackernews , bleepingcomputer

พบช่องโหว่บนเว็บแอปพลิเคชันเซิร์ฟเวอร์ Apache Tomcat 7.0.0 ถึง 7.0.79 บนระบบปฏิบัติการวินโดวส์ที่มีการเปิดรับรีเควสต์ HTTP เมธอด PUT (ด้วยการตั้งค่าที่พารามิเตอร์ readonly ใน DefaultServlet ให้เป็น false) ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ JSP ที่เป็นอันตรายผ่านรีเควสต์ในลักษณะดังกล่าวและรันไฟล์ที่่เป็นอันตรายได้

ผู้ใช้งานที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวแนะนำให้ทำการอัพเกรดรุ่นของ Apache Tomcat ให้เป็น 7.0.81 เพื่อลดความเสี่ยงจากการโจมตีระบบด้วยช่องโหว่นี้

ที่มา: Apache Tomcat Security Team

นักวิจัยด้านความปลอดภัยจาก Truswave ค้นพบช่องโหว่ (CVE-2014-0050) ซึ่งอนุญาตให้ผู้โจมตีสามารถโจมตีในรูปแบบ DOS ไปยังเว็บไซต์ที่ใช้โฮสต์บนเซิร์ฟเวอร์ Apache Tomcat ได้ ซึ่งช่องโหว่ดังกล่าวตั้งอยู่ในแฟ้ม FileUpload Apache Commons โดยผู้โจมตีจะทำการร้องขอส่วนของ Header และทำการส่งค่าพารามิเตอร์ “Content-type” ที่มีรูปแบบผิดปกติ จากนั้นผู้โจมตีจะทำการอัพโหลดไฟล์ที่มีคำสั่ง For loop ซึ่งอาจส่งผลให้มีการวนซ้ำโดยไม่มีจุดสิ้นสุด

ที่มา : ehackingnews

นักวิจัยด้านความปลอดภัยจาก Truswave ค้นพบช่องโหว่ (CVE-2014-0050) ซึ่งอนุญาตให้ผู้โจมตีสามารถโจมตีในรูปแบบ DOS ไปยังเว็บไซต์ที่ใช้โฮสต์บนเซิร์ฟเวอร์ Apache Tomcat ได้ ซึ่งช่องโหว่ดังกล่าวตั้งอยู่ในแฟ้ม FileUpload Apache Commons โดยผู้โจมตีจะทำการร้องขอส่วนของ Header และทำการส่งค่าพารามิเตอร์ “Content-type” ที่มีรูปแบบผิดปกติ จากนั้นผู้โจมตีจะทำการอัพโหลดไฟล์ที่มีคำสั่ง For loop ซึ่งอาจส่งผลให้มีการวนซ้ำโดยไม่มีจุดสิ้นสุด

ที่มา : ehackingnews