Уязвимост в Apache Tomcat, която ви позволява да замените JSP код и да получите файлове на уеб приложения

Изследователи от китайската компания Chaitin Tech откриха уязвимост (CVE-2020 1938-) в Apache Tomcat, отворена реализация на технологиите Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. На уязвимостта е присвоено кодовото име Ghostcat и критично ниво на сериозност (9.8 CVSS). Проблемът позволява, в конфигурацията по подразбиране, чрез изпращане на заявка на мрежов порт 8009, да се прочете съдържанието на всякакви файлове от директорията на уеб приложението, включително файлове с настройки и изходни кодове на приложения.

Уязвимостта също така прави възможно импортирането на други файлове в кода на приложението, което позволява изпълнение на код на сървъра, ако приложението позволява файлове да бъдат качени на сървъра (например, атакуващ може да качи JSP скрипт, маскиран като изображение чрез формата за качване на изображение). Атаката може да бъде извършена, когато е възможно да се изпрати заявка до мрежов порт с AJP манипулатор. По предварителни данни онлайн намерени повече от 1.2 милиона хоста, приемащи заявки чрез AJP протокола.

Уязвимостта съществува в протокола AJP и не се нарича грешка в изпълнението. В допълнение към приемането на връзки чрез HTTP (порт 8080), Apache Tomcat по подразбиране позволява достъп до уеб приложение чрез AJP протокола (Apache Jserv протокол, порт 8009), който е двоичен аналог на HTTP, оптимизиран за по-висока производителност, обикновено се използва при създаване на клъстер от Tomcat сървъри или за ускоряване на взаимодействието с Tomcat на обратен прокси или балансиращо натоварване.

AJP предоставя стандартна функция за достъп до файлове на сървъра, която може да се използва, включително получаване на файлове, които не подлежат на разкриване. Предполага се, че AJP е достъпен само за доверени сървъри, но всъщност конфигурацията по подразбиране на Tomcat стартира манипулатора на всички мрежови интерфейси и приема заявки без удостоверяване. Възможен е достъп до всякакви файлове на уеб приложение, включително съдържанието на WEB-INF, META-INF и всякакви други директории, предоставени чрез извикване на ServletContext.getResourceAsStream(). AJP също ви позволява да използвате всеки файл в директории, достъпни за уеб приложението като JSP скрипт.

Проблемът се появява след излизането на клона Tomcat 13.x преди 6 години. В допълнение към самия проблем с Tomcat засяга и продукти, които го използват, като Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), както и самостоятелни уеб приложения, които използват Пролетен ботуш. Подобна уязвимост (CVE-2020-1745) присъства в уеб сървъра Undertow, използвани в сървъра на приложения Wildfly. В JBoss и Wildfly AJP е активиран по подразбиране само в профили standalone-full-ha.xml, standalone-ha.xml и ha/full-ha в domain.xml. В Spring Boot поддръжката на AJP е деактивирана по подразбиране. В момента различни групи са подготвили повече от дузина работещи примери за експлойти (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

Коригирана уязвимост в изданията на Tomcat 9.0.31, 8.5.51 и 7.0.100 (поддръжка на клон 6.x прекратен). Можете да проследите наличността на актуализации в комплекти за разпространение на тези страници: Debian, Ubuntu, RHEL, Fedora, SUSE, FreeBSD. Като заобиколно решение можете да деактивирате услугата Tomcat AJP Connector (свържете слушащ сокет към localhost или коментирайте реда с Connector port = "8009"), ако не е необходима, или настройка удостоверен достъп с помощта на атрибутите „secret“ и „address“, ако услугата се използва за взаимодействие с други сървъри и прокси сървъри на базата на mod_jk и mod_proxy_ajp (mod_cluster не поддържа удостоверяване).

Източник: opennet.ru