დაუცველობა Apache Tomcat-ში, რომელიც საშუალებას გაძლევთ შეცვალოთ JSP კოდი და მიიღოთ ვებ აპლიკაციის ფაილები

ჩინური კომპანია Chaitin Tech-ის მკვლევარებმა აღმოაჩინეს, რომ დაუცველობა (CVE-2020-1938) Apache Tomcat, Java Servlet-ის, JavaServer Pages-ის, Java Expression Language-ისა და Java WebSocket ტექნოლოგიების ღია იმპლემენტაცია. დაუცველობას მინიჭებული აქვს კოდური სახელი Ghostcat და კრიტიკული საფრთხის დონე (9.8 CVSS). პრობლემა, ნაგულისხმევ კონფიგურაციაში, საშუალებას იძლევა წაიკითხოს ვებ აპლიკაციის დირექტორიაში არსებული ნებისმიერი ფაილის შინაარსი ქსელის პორტ 8009-ზე მოთხოვნის გაგზავნით, მათ შორის ფაილები პარამეტრებით და აპლიკაციის საწყისი კოდით.

დაუცველობა ასევე იძლევა აპლიკაციის კოდში სხვა ფაილების იმპორტის საშუალებას, რაც სერვერზე კოდის შესრულების საშუალებას იძლევა, თუ აპლიკაცია სერვერზე ფაილების ატვირთვის საშუალებას იძლევა (მაგალითად, თავდამსხმელს შეუძლია JSP სკრიპტის ატვირთვა სურათის სახით სურათის ატვირთვის ფორმის მეშვეობით). შეტევა შეიძლება განხორციელდეს, თუ შესაძლებელია მოთხოვნის გაგზავნა ქსელის პორტში AJP დამმუშავებლის გამოყენებით. წინასწარი მონაცემებით, არსებობს ნაპოვნია 1.2 მილიონზე მეტი ჰოსტი იღებს მოთხოვნებს AJP პროტოკოლის მეშვეობით.

დაუცველობა AJP პროტოკოლშია და არ არის გამოწვეული განხორციელების შეცდომა. HTTP-ის (პორტი 8080) საშუალებით კავშირების მიღების გარდა, Apache Tomcat ნაგულისხმევად იძლევა ვებ აპლიკაციაზე წვდომის საშუალებას AJP პროტოკოლის მეშვეობით (Apache Jserv პროტოკოლი, პორტი 8009), რომელიც HTTP-ის ოპტიმიზირებული ორობითი ანალოგია, რომელიც ჩვეულებრივ გამოიყენება Tomcat სერვერების კლასტერის შექმნისას ან Tomcat-თან ურთიერთქმედების დასაჩქარებლად უკუ პროქსიზე ან დატვირთვის დაბალანსატორზე.

AJP უზრუნველყოფს ჩაშენებულ ფუნქციას სერვერზე ფაილებზე წვდომისთვის, რომლის გამოყენებაც შესაძლებელია იმ ფაილების მისაღებად, რომლებიც არ ექვემდებარება გამჟღავნებას. ვარაუდობენ, რომ AJP-ზე წვდომა მხოლოდ სანდო სერვერებისთვისაა ხელმისაწვდომი, მაგრამ სინამდვილეში, Tomcat-ის ნაგულისხმევ კონფიგურაციაში, დამმუშავებელი გაშვებული იყო ყველა ქსელურ ინტერფეისზე და მოთხოვნები მიღებული იყო ავტორიზაციის გარეშე. წვდომა შესაძლებელია ვებ აპლიკაციის ნებისმიერ ფაილზე, მათ შორის WEB-INF, META-INF და ServletContext.getResourceAsStream() გამოძახებით დაბრუნებული ნებისმიერი სხვა დირექტორიის შინაარსზე. AJP ასევე საშუალებას გაძლევთ გამოიყენოთ ვებ აპლიკაციისთვის ხელმისაწვდომი დირექტორიების ნებისმიერი ფაილი, როგორც JSP სკრიპტი.

პრობლემა 13 წლის წინ Tomcat 6.x განშტოების გამოშვებიდან არსებობს. თავად Tomcat-ის გარდა, პრობლემა გავლენას ახდენს და პროდუქტები, რომლებიც მას იყენებენ, როგორიცაა Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP) და თვითკმარი ვებ აპლიკაციები, რომლებიც იყენებენ საგაზაფხულო ჩექმამსგავსი დაუცველობა (CVE-2020-1745) აწმყო ვებ სერვერზე წაუკითხეთ, რომელიც გამოიყენება Wildfly აპლიკაციის სერვერში. JBoss-სა და Wildfly-ში, AJP პროტოკოლი ნაგულისხმევად ჩართულია მხოლოდ domain.xml-ში standalone-full-ha.xml, standalone-ha.xml და ha/full-ha პროფილებში. Spring Boot-ში, AJP მხარდაჭერა ნაგულისხმევად გამორთულია. ამჟამად, სხვადასხვა ჯგუფის მიერ მომზადდა ექსპლოიტების ათზე მეტი სამუშაო მაგალითი (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

დაუცველობა Tomcat-ის ვერსიებში გამოსწორდა. 9.0.31, 8.5.51 и 7.0.100 (6.x განშტოების შენარჩუნება შეწყდა). თქვენ შეგიძლიათ თვალყური ადევნოთ განახლების გამოჩენას დისტრიბუციებში ამ გვერდებზე: Debian, Ubuntu, rhel, Fedora, სუსე, FreeBSDშემოვლითი გზის სახით, თუ ეს საჭირო არ არის, შეგიძლიათ გამორთოთ Tomcat AJP Connector სერვისი (მოსმენის სოკეტი ლოკალურ ჰოსტთან დააკავშიროთ ან ხაზი Connector port = "8009"-ით დააკომენტაროთ), ან შეიქმნა ავთენტიფიკაცია „secret“ და „address“ ატრიბუტების გამოყენებით, თუ სერვისი გამოიყენება სხვა სერვერებთან და პროქსიებთან ურთიერთქმედებისთვის mod_jk-სა და mod_proxy_ajp-ზე დაყრდნობით (mod_cluster არ უჭერს მხარს ავთენტიფიკაციას).

წყარო: opennet.ru