ช่องโหว่ Apache Tomcat CVE-2024-56337 ทำให้เซิร์ฟเวอร์เสี่ยงต่อการถูกโจมตีแบบ RCE

Apache Software Foundation (ASF) ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Tomcat Server ที่อาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ภายใต้เงื่อนไขบางอย่าง

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-56337 ถูกระบุว่าเป็นการแก้ไขปัญหาที่ไม่สมบูรณ์ของช่องโหว่ CVE-2024-50379 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ด้านความปลอดภัยระดับ Critical อีกช่องโหว่หนึ่งในผลิตภัณฑ์เดียวกัน และเคยได้รับการแก้ไขไปแล้วเมื่อวันที่ 17 ธันวาคม 2024

นักพัฒนาได้ระบุในคำแนะนำเมื่อสัปดาห์ที่แล้วว่า "ผู้ใช้ที่ใช้งาน Tomcat บนระบบไฟล์ที่ไม่คำนึงถึงตัวพิมพ์เล็ก-ใหญ่ (case insensitive) และเปิดใช้งานการเขียน default servlet (ตั้งค่าพารามิเตอร์ readonly เริ่มต้นเป็นค่า false ซึ่งไม่ใช่ค่าเริ่มต้น) อาจจำเป็นต้องตั้งค่าเพิ่มเติม เพื่อแก้ไขช่องโหว่ CVE-2024-50379 ให้สมบูรณ์ แต่ก็ขึ้นอยู่กับเวอร์ชั่นของ Java ที่ใช้งานร่วมกับ Tomcat ด้วย"

ช่องโหว่ทั้งสองรายการเป็นช่องโหว่แบบ Time-of-check Time-of-use (TOCTOU) ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดบนระบบไฟล์ที่ไม่แยกความแตกต่างระหว่างตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ เมื่อมีการเปิดใช้งาน default servlet สำหรับการเขียน

Apache ระบุไว้ในการแจ้งเตือนสำหรับ CVE-2024-50379 "การอ่าน และการอัปโหลดพร้อมกันภายใต้โหลดของไฟล์เดียวกัน สามารถหลีกเลี่ยงการตรวจสอบความแตกต่างของตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ของ Tomcat และทำให้ไฟล์ที่อัปโหลดถูกมองว่าเป็น JSP ซึ่งจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

CVE-2024-56337 ส่งผลกระทบต่อ Apache Tomcat ตามเวอร์ชันต่อไปนี้

Apache Tomcat 11.0.0-M1 ถึง 11.0.1 (แก้ไขแล้วในเวอร์ชั่น 11.0.2 หรือเวอร์ชันใหม่กว่า)
Apache Tomcat 10.1.0-M1 ถึง 10.1.33 (แก้ไขแล้วในเวอร์ชั่น 10.1.34 หรือเวอร์ชันใหม่กว่า)
Apache Tomcat 9.0.0.M1 ถึง 9.0.97 (แก้ไขแล้วในเวอร์ชั่น 9.0.98 หรือเวอร์ชันใหม่กว่า)

นอกจากนี้ ผู้ใช้งานจำเป็นต้องดำเนินการเปลี่ยนแปลงการตั้งค่าต่อไปนี้ ขึ้นอยู่กับเวอร์ชันของ Java ที่กำลังใช้งาน

Java 8 หรือ Java 11: กำหนดค่า system property sun.

CISA ได้ออกคำเเนะนำในการอัพเดตเเพตซ์เเก้ไขช่องโหว่ใน Apache

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์ความปลอดภัยใน Apache โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีสามารถทำให้เกิด Denial of Service (DoS) บนระบบได้ ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-13934 และ CVE-2020-13935

ช่องโหว่มีผลกระทบกับ Apache Tomcat 10.0.0-M1 ถึง 10.0.0-M6, Apache Tomcat 9.0.0.M5 ถึง 9.0.36, Apache Tomcat 8.5.1 to 8.5.56 และ Apache Tomcat 7.0.27 ถึง 7.0.104

ในการบรรเทาความเสี่ยงนั้นผู้ดูแลระบบควรทำการอัพเดต Apache Tomcat ให้เป็นเวอร์ชั่น 10.0.0-M7 หรือมากกว่า, 9.0.37 หรือมากกว่า, 8.5.57 หรือมากกว่า

ที่มา:

us-cert.

Active Scans for Apache Tomcat Ghostcat Vulnerability Detected, Patch Now

แพตช์ด่วน พบการสแกนหาช่องโหว่ Ghostcat สำหรับ Apache Tomcat แล้ว

ในตอนนี้พบการสแกนหาช่องโหว่สำหรับเซิร์ฟเวอร์ Apache Tomcat ที่ยังไม่ได้แก้ไขช่องโหว่ Ghostcat ที่ช่วยให้ผู้โจมตียึดเซิร์ฟเวอร์ได้จำนวนมาก

Ghostcat เป็นช่องโหว่ความเสี่ยงสูงในการเข้าถึงการอ่านไฟล์ ซึ่งถูกติดตามในชื่อ CVE-2020-1938 และมีอยู่ใน Apache JServ Protocol (AJP) ของ Apache Tomcat ตั้งแต่เวอร์ชัน 6.x จนถึง 9.x
นักพัฒนา Apache Tomcat ออกเวอร์ชัน 7.0.100, 8.5.51 และ 9.0.31 เพื่อแก้ไขช่องโหว่แล้ว อย่างไรก็ตามผู้ใช้เวอร์ชัน 6.x จะต้องอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากเวอร์ชั่นนี้ถึงจุดสิ้นสุดการ support แล้ว และไม่ได้รับการอัพเดทอีกต่อไป
Apache Tomcat 6, 7, 8 และ 9 ทั้งหมดที่มีช่องโหว่ AJP Connector จะถูกเปิดใช้งานตามค่าเริ่มต้น และ listening บนพอร์ต 8009
มีการเผยแพร่โค้ดสำหรับพิสูจน์เเนวความคิดการมีอยู่ของช่องโหว่ (POC) แล้ว Tenable กล่าวว่า POC สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่ทั้วไปตาม GitHub ทำให้ผู้โจมตีสามารถนำมาใช้ได้
หากคุณไม่สามารถอัปเดทหรืออัพเกรดเซิร์ฟเวอร์ของคุณเป็นรุ่น Tomcat ที่ได้รับการแก้ไขได้ทันที ทีมวิจัยของ Chaitin Tech แนะนำให้ปิดใช้งาน AJP Connector ทั้งหมด เว้นแต่ตั้งค่า requiredSecret สำหรับ AJP Connector ไว้ ซึ่งทำให้ต้องอาศัย credential ในการเชื่อมต่อ
ช่องโหว่ Ghostcat สามารถนำไปสู่การครอบครองเซิร์ฟเวอร์ได้ เนื่องจากTomcat ถือว่าการเชื่อมต่อ AJP มีความน่าเชื่อถือสูงกว่าการเชื่อมต่อ HTTP หรือการเชื่อมต่อที่คล้ายกัน หากใช้ช่องโหว่ดังกล่าวผู้โจมตีสามารถอ่านเนื้อหาของไฟล์การกำหนดค่าและไฟล์ source code ของ webapp ทั้งหมดที่ติดตั้งบน Tomcat ได้
นอกจากนี้หาก webapp อนุญาตให้ผู้ใช้อัปโหลดไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีรหัสสคริปต์ JSP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ก่อน ตามด้วยการโจมตีช่องโหว่ Ghostcat ซึ่งในที่สุดก็สามารถส่งผลให้สามารถทำ remote code execution ได้

ที่มา : bleepingcomputer

Apache Tomcat Patches Important Remote Code Execution Flaw

Apache Tomcat ออกอัปเดตเพื่อแก้ไขช่องโหว่ที่ทำให้สามารถถูกรันคำสั่งอันตรายจากระยะไกลได้

Apache Software Foundation ออกอัปเดตเพื่อแก้ไขช่องโหว่สำคัญบน Apache Tomcat เป็นการแก้ไขช่องโหว่ CVE-2019-0232 ซึ่งเป็นช่องโหว่ใน CGI Servlet ของ Tomcat ในกรณีที่ Tomcat ทำงานบนระบบปฏิบัติการณ์ Windows ที่มีการตั้งค่า enableCmdLineArguments ผู้โจมตีจะสามารถส่งคำสั่งไปยัง Servlet ซึ่งจะส่งคำสังดังกล่าวต่อไปยังระบบปฏิบัติการณ์ Windows ได้ (OS command injection)

โดย Apache Tomcat ในบางรุ่นจะมีการปิดการตั้งค่า enableCmdLineArguments ไว้เป็นค่าเริ่มต้น ทำให้มีเพียง Apache Tomcat บางรุ่นเท่านั้นที่ได้รับผลกระทบดังกล่าว โดยรุ่นที่ได้รับผลกระทบได้แก่
Apache Tomcat รุ่น 9.0.0.M1 ถึง 9.0.17
Apache Tomcat รุ่น 8.5.0 ถึง 8.5.39
Apache Tomcat รุ่น 7.0.0 ถึง 7.0.93

Apache Software Foundation ได้ออกคำแนะนำสำหรับลดความเสี่ยงจากช่องโหว่ดังกล่าวว่า ใช้อัปเดต Apache Tomcat เป็นรุ่นที่ไม่ได้รับผลกระทบ คือ
อัปเดตเป็น Apache Tomcat รุ่น 9.0.18 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 8.5.40 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 7.0.93 เป็นต้นไป
หรือในกรณีที่ไม่สามารถอัปเดตได้ ให้ตั้งค่า enableCmdLineArguments เป็น false

ที่มา thehackernews , bleepingcomputer

Apache Tomcat Remote Code Execution via JSP Upload

พบช่องโหว่บนเว็บแอปพลิเคชันเซิร์ฟเวอร์ Apache Tomcat 7.0.0 ถึง 7.0.79 บนระบบปฏิบัติการวินโดวส์ที่มีการเปิดรับรีเควสต์ HTTP เมธอด PUT (ด้วยการตั้งค่าที่พารามิเตอร์ readonly ใน DefaultServlet ให้เป็น false) ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ JSP ที่เป็นอันตรายผ่านรีเควสต์ในลักษณะดังกล่าวและรันไฟล์ที่่เป็นอันตรายได้

ผู้ใช้งานที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวแนะนำให้ทำการอัพเกรดรุ่นของ Apache Tomcat ให้เป็น 7.0.81 เพื่อลดความเสี่ยงจากการโจมตีระบบด้วยช่องโหว่นี้

ที่มา: Apache Tomcat Security Team

CVE-2014-0050: Apache Tomcat vulnerable to Denial of service attack

นักวิจัยด้านความปลอดภัยจาก Truswave ค้นพบช่องโหว่ (CVE-2014-0050) ซึ่งอนุญาตให้ผู้โจมตีสามารถโจมตีในรูปแบบ DOS ไปยังเว็บไซต์ที่ใช้โฮสต์บนเซิร์ฟเวอร์ Apache Tomcat ได้ ซึ่งช่องโหว่ดังกล่าวตั้งอยู่ในแฟ้ม FileUpload Apache Commons โดยผู้โจมตีจะทำการร้องขอส่วนของ Header และทำการส่งค่าพารามิเตอร์ “Content-type” ที่มีรูปแบบผิดปกติ จากนั้นผู้โจมตีจะทำการอัพโหลดไฟล์ที่มีคำสั่ง For loop ซึ่งอาจส่งผลให้มีการวนซ้ำโดยไม่มีจุดสิ้นสุด

ที่มา : ehackingnews

CVE-2014-0050: Apache Tomcat vulnerable to Denial of service attack

นักวิจัยด้านความปลอดภัยจาก Truswave ค้นพบช่องโหว่ (CVE-2014-0050) ซึ่งอนุญาตให้ผู้โจมตีสามารถโจมตีในรูปแบบ DOS ไปยังเว็บไซต์ที่ใช้โฮสต์บนเซิร์ฟเวอร์ Apache Tomcat ได้ ซึ่งช่องโหว่ดังกล่าวตั้งอยู่ในแฟ้ม FileUpload Apache Commons โดยผู้โจมตีจะทำการร้องขอส่วนของ Header และทำการส่งค่าพารามิเตอร์ “Content-type” ที่มีรูปแบบผิดปกติ จากนั้นผู้โจมตีจะทำการอัพโหลดไฟล์ที่มีคำสั่ง For loop ซึ่งอาจส่งผลให้มีการวนซ้ำโดยไม่มีจุดสิ้นสุด

ที่มา : ehackingnews