GhostCat: Lỗ Hỏng Nghiêm Trọng Mới Ảnh Hướng Đến Các Server Đang Chạy Apache Tomcat

Nếu web server của bạn đang chạy trên nền tảng Apache Tomcat, bạn nên nhanh chóng cập nhật lên bản mới nhất để ngăn chặn các Hacker chiếm quyền truy cập.

Điều này là hoàn toàn có thể xảy ra bởi vì tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua đã tìm thấy lỗ hỏng bảo mật có mức nguy hại cao – nó có thể được khai thức trong cấu hình mặc định.

Được mệnh danh là “GhostCat” và đã báo cáo tại CVE-2020-1938 , Các Hacker có thể đọc nội dung bất kỳ tệp tin nào trên lỗ hỏng này và lấy được nhiều tệp tin cấu hình nhạy cảm, tất cả source code, hoặc thực thi bất kỳ đoạn mã nào nếu máy chủ đó cho phép upload, mà không cần cơ chế xác thực nào.

Lỗ Hỏng GhostCat là gì và nó cách thức nó làm việc thế nào ?

Theo như các công ty nghiên cứu bảo mật tại Trung Quốc ( Chaitin Tech), lỗ hỏng này nằm trong giao thức AJP của phần mềm Apache Tomcat, nơi phát sinh ra một xử lý khi một thuộc tính không đúng.

Các nhà nghiên cứu nói: “Nếu một website cho phép người dùng tải lên tệp tin, kẻ tấn công có thể tải lên một tệp tin chứa mã độc JSP đến máy chủ, và sau đó hacker có thể khai thác bằng Ghostcat, cuối cùng là họ có thể thực thi các đoạn mã từ xa”.

giao thức Apache Jserv Protocal (AJP) là một phiên bản tối ưu hóa của giao thức HTTP, cho phép Tomcat giao tiếp với Apache web-server.

Giao thức AJP được kích hoạt mặc định và lắng nghe tại port TCP 8009, nó cũng liên kết tới địa chỉ IP 0.0.0.0 và có thể bị khai thức từ xa từ một người đúng không tin cậy.

Theo “onyphe”, một cổ máy tìm kiếm mã nguồn mở và chứa những dữ liệu có thể phát hiện ra những mối nguy hại trên mạng một cách thông minh, Cho biết có hơn 170.000 thiết bị đã đưa ra một kết nối AJP đến tất cả mọi người thông qua Internet.

Bản Vá Lỗ Hỏng Apache Tomcat

Các nhà nguyên cứu bảo mật tại Chaitin đã tìm ra và đã báo cáo lỗ hỏng này đến dự án Apache Tomcat. Ngay sau đó phiên bản Apache Tomcat 9.0.31, 8.5.51, và 7.0.100 đã có bản vá về vấn đề này.

Phiên bản mới nhất cũng đã khắc phục được 2 lỗ hỏng có độ nguy hại ở mức thấp HTTP (CVE-2020-1935 and CVE-2019-17569)

Những người quản trị website được khuyến cáo là phải áp dụng bản cập nhật càng sớm càng tốt và không nên mở port AJP đến những người dùng không tin cậy bởi

Tuy Nhiên, trong trường hợp bạn không thể nâng cấp lên bản mới vì lý do nào đó, bạn cũng có thể trực tiếp tắt tính năng AJP hoặc thay đổi nó sang lắng nghe trên địa chỉ IP localhost.