פגיעות ב- Apache Tomcat המאפשרת החלפת קוד JSP וקבלת קבצי אפליקציות אינטרנט

חוקרים מהחברה הסינית Chaitin Tech זיהו פגיעות (CVE-2020-1938) ב אפאצ 'י טומאט, מימוש קוד פתוח של Java Servlet, JavaServer Pages, Java Expression Language וטכנולוגיות Java WebSocket. הפגיעות קיבלה את שם הקוד Ghostcat ורמת חומרה קריטית (9.8 CVSS). הבעיה מאפשרת, בתצורת ברירת המחדל, על ידי שליחת בקשה ליציאת רשת 8009, לקרוא את התוכן של כל קבצים מספריית יישומי האינטרנט, כולל קבצים עם הגדרות וקודי מקור של יישומים.

הפגיעות מאפשרת גם לייבא קבצים אחרים לקוד האפליקציה, מה שמאפשר לארגן ביצוע קוד בשרת אם האפליקציה מאפשרת העלאת קבצים לשרת (לדוגמה, תוקף יכול להעלות סקריפט JSP במסווה של תמונה דרך טופס העלאת התמונה). ניתן לבצע התקפה על ידי שליחת בקשה ליציאת רשת עם מטפל AJP. לפי נתונים ראשוניים, באינטרנט מצאתי יותר מ-1.2 מיליון מארחים שמקבלים בקשות באמצעות פרוטוקול AJP.

הפגיעות קיימת בפרוטוקול AJP, ו לא נקרא שגיאת יישום. בנוסף לקבלת חיבורים באמצעות HTTP (יציאה 8080), Apache Tomcat כברירת מחדל מאפשרת גישה ליישום אינטרנט באמצעות פרוטוקול AJP (פרוטוקול Apache JServ, יציאה 8009), שהיא מקבילה בינארית מותאמת לביצועים של HTTP, המשמשת בדרך כלל בעת יצירת אשכול של שרתי Tomcat או כדי להאיץ את התקשורת עם Tomcat בפרוקסי הפוך או מאזן עומסים.

AJP מספקת פונקציה סטנדרטית לגישה לקבצים בשרת, בה ניתן להשתמש, לרבות השגת קבצים שאינם נתונים לחשיפה. AJP אמורה להיות נגישה רק לשרתים מהימנים, אך למעשה תצורת ברירת המחדל של Tomcat הייתה להפעיל את המטפל בכל ממשקי הרשת ולקבל בקשות ללא אימות. גישה אפשרית לכל קבצי יישום אינטרנט, כולל התוכן של WEB-INF, META-INF וכל ספרייה אחרת שניתנה באמצעות הקריאה ServletContext.getResourceAsStream() . AJP גם מאפשר לך להשתמש בכל קובץ בספריות הנגישות של יישום האינטרנט כסקריפט JSP.

הבעיה באה לידי ביטוי מאז הענף של Tomcat 13.x שיצא לפני 6 שנים. חוץ מבעיית Tomcat ישירות משפיע ומוצרים המשתמשים בו, כגון Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), וכן יישומי אינטרנט עצמאיים המשתמשים מגף אביב. פגיעות דומה (CVE-2020-1745) הווה בשרת האינטרנט זֶרֶם תַחתִיבשימוש בשרת היישומים Wildfly. ב-JBoss וב-Wildfly, פרוטוקול AJP מופעל כברירת מחדל רק בפרופילים standalone-full-ha.xml, עצמאי-ha.xml ו-ha/full-ha ב-domain.xml. ב-Spring Boot, תמיכת AJP מושבתת כברירת מחדל. יותר מתריסר דוגמאות עבודה של מעללים הוכנו על ידי קבוצות שונות (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

פגיעות תוקנה במהדורות של Tomcat 9.0.31, 8.5.51 и 7.0.100 (ענף תחזוקה 6.x הופסק). אתה יכול לעקוב אחר הופעת העדכונים בהפצות בדפים אלה: דביאן, אובונטו, רהל, פדורה, SUSE, FreeBSD. כדרך לעקיפת הבעיה, אתה יכול להשבית את שירות Tomcat AJP Connector (לאגד את שקע ההאזנה ל-localhost או להעיר את הקו עם יציאת Connector = "8009") אם אין צורך, או להגדיר גישה מאומתת באמצעות המאפיינים "סודי" ו"כתובת", אם השירות משמש לאינטראקציה עם שרתים ופרוקסי אחרים המבוססים על mod_jk ו-mod_proxy_ajp (mod_cluster אינו תומך באימות).

מקור: OpenNet.ru