GhostCat:新的高风险漏洞影响运行Apache Tomcat的服务器

Apache Tomcat安全性

如果您的Web服务器在Apache Tomcat上运行,则应立即安装该服务器应用程序的最新可用版本,以防止黑客对其进行未经授权的控制。

是的,这是可能的,因为发现过去13年中发布的所有版本(9.x / 8.x / 7.x / 6.x)的Apache Tomcat都容易受到新的高严重性(CVSS 9.8)文件的攻击读取和包含错误 ”-可以在默认配置中利用。

但它更多的关注,因为一些证据的概念漏洞(1234  和),因为此漏洞也已在Internet上浮出水面,因此任何人都可以轻松入侵可公开访问的易受攻击的Web服务器。

该漏洞 被称为“ Ghostcat ”,并被跟踪为CVE-2020-1938,该漏洞可能使未经身份验证的远程攻击者读取易受攻击的Web服务器上任何文件的内容并获取敏感的配置文件或源代码,或者在服务器允许文件执行时执行任意代码上传,如下面的演示所示。

什么是Ghostcat缺陷及其工作原理?

根据中国网络安全公司Chaitin Tech的说法,该漏洞位于Apache Tomcat软件的AJP协议中,该协议是由于对属性的不正确处理引起的。

“如果站点允许用户上传文件,则攻击者可以先将包含恶意JSP脚本代码的文件上传到服务器(上传的文件本身可以是任何文件类型,例如图片,纯文本文件等),然后包括通过利用Ghostcat上传文件,最终可以导致远程执行代码。”研究人员说。
Apache JServ协议(AJP)协议基本上是HTTP协议的优化版本,以允许Tomcat与Apache Web服务器进行通信。

apache tomcat骇客

尽管AJP协议默认情况下处于启用状态,并且侦听TCP端口8009,但它已绑定到IP地址0.0.0.0,并且只有在不受信任的客户端可以访问时才能被远程利用。

根据开源和网络威胁情报数据搜索引擎“ onyphe”的说法,在撰写本文时,有超过170,000台设备正在通过Internet向所有人公开AJP连接器。

Apache Tomcat漏洞:修补程序和缓解措施

Chaitin的研究人员上个月发现了此漏洞并将其报告给Apache Tomcat项目,该项目现已发布了Apache Tomcat 9.0.31、8.5.51和7.0.100版本以解决此问题。

最新版本还修复了其他2个低严重度HTTP请求走私(CVE-2020-1935和CVE-2019-17569)问题。

强烈建议Web管理员尽快应用软件更新,并且建议不要将AJP端口公开给不受信任的客户端,因为它通过不安全的通道进行通信并且打算在受信任的网络中使用。

“用户应注意,对9.0.31中的默认AJP连接器配置进行了许多更改,以强化默认配置。升级到9.0.31或更高版本的用户可能需要对其配置进行小的更改,因为结果,” Tomcat团队说。
但是,如果由于某种原因而不能立即升级受影响的Web服务器,则也可以直接禁用AJP连接器,或将其侦听地址更改为localhost。

0 0 vote
Article Rating

未经允许不得转载:x-sec » GhostCat:新的高风险漏洞影响运行Apache Tomcat的服务器

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x