დაუცველობა Apache Tomcat-ში, რომელიც საშუალებას გაძლევთ შეცვალოთ JSP კოდი და მიიღოთ ვებ აპლიკაციის ფაილები

ჩინური კომპანიის Chaitin Tech-ის მკვლევარებმა აღმოაჩინეს დაუცველობა (CVE-2020-1938) Apache TomcatJava Servlet, JavaServer Pages, Java Expression Language და Java WebSocket ტექნოლოგიების ღია დანერგვა. დაუცველობას მინიჭებული აქვს კოდის სახელი Ghostcat და კრიტიკული სიმძიმის დონე (9.8 CVSS). პრობლემა ნაგულისხმევ კონფიგურაციაში საშუალებას აძლევს ქსელის პორტზე 8009 მოთხოვნის გაგზავნით, წაიკითხოს ნებისმიერი ფაილის შინაარსი ვებ აპლიკაციის დირექტორიადან, მათ შორის ფაილები პარამეტრებით და აპლიკაციის წყაროს კოდებით.

დაუცველობა ასევე შესაძლებელს ხდის სხვა ფაილების იმპორტირებას აპლიკაციის კოდში, რაც იძლევა კოდის შესრულების საშუალებას სერვერზე, თუ აპლიკაცია საშუალებას აძლევს ფაილების სერვერზე ატვირთვას (მაგალითად, თავდამსხმელს შეუძლია ატვირთოს JSP სკრიპტი, რომელიც გადაცმულია გამოსახულების სახით. სურათის ატვირთვის ფორმა). შეტევა შეიძლება განხორციელდეს, როდესაც შესაძლებელია მოთხოვნის გაგზავნა ქსელის პორტში AJP დამმუშავებლის საშუალებით. წინასწარი მონაცემებით, ონლაინ ნაპოვნია 1.2 მილიონზე მეტი ჰოსტი იღებს მოთხოვნებს AJP პროტოკოლით.

დაუცველობა არსებობს AJP პროტოკოლში და არ დაურეკავს შეცდომა განხორციელებაში. გარდა HTTP (პორტი 8080) მეშვეობით კავშირების მიღებისა, Apache Tomcat ნაგულისხმევად იძლევა ვებ აპლიკაციაზე წვდომას AJP პროტოკოლის საშუალებით (Apache Jserv Protocol, პორტი 8009), რომელიც წარმოადგენს HTTP-ის ორობით ანალოგს, რომელიც ოპტიმიზებულია უფრო მაღალი შესრულებისთვის, რომელიც ჩვეულებრივ გამოიყენება Tomcat-ის სერვერების კლასტერის შექმნისას ან Tomcat-თან ურთიერთქმედების დასაჩქარებლად უკუ პროქსიზე ან დატვირთვის ბალანსერზე.

AJP უზრუნველყოფს სერვერზე ფაილებზე წვდომის სტანდარტულ ფუნქციას, რომლის გამოყენებაც შესაძლებელია, მათ შორის ფაილების მოპოვებისთვის, რომლებიც არ ექვემდებარება გამჟღავნებას. სავარაუდოდ, AJP ხელმისაწვდომი იქნება მხოლოდ სანდო სერვერებისთვის, მაგრამ სინამდვილეში Tomcat-ის ნაგულისხმევი კონფიგურაცია ამუშავებდა კურატორს ყველა ქსელის ინტერფეისზე და იღებდა მოთხოვნებს ავთენტიფიკაციის გარეშე. წვდომა შესაძლებელია ნებისმიერ ვებ აპლიკაციის ფაილზე, მათ შორის WEB-INF, META-INF და ნებისმიერი სხვა დირექტორიის შიგთავსზე, რომელიც მოწოდებულია ServletContext.getResourceAsStream(-ზე) გამოძახებით. AJP ასევე საშუალებას გაძლევთ გამოიყენოთ ნებისმიერი ფაილი ვებ აპლიკაციისთვის ხელმისაწვდომი დირექტორიაში JSP სკრიპტის სახით.

პრობლემა გაჩნდა მას შემდეგ, რაც Tomcat 13.x ფილიალი გამოვიდა 6 წლის წინ. გარდა თავად ტომკეტის პრობლემისა გავლენას ახდენს და პროდუქტები, რომლებიც იყენებენ მას, როგორიცაა Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), ისევე როგორც თვითმყოფადი ვებ აპლიკაციები, რომლებიც იყენებენ საგაზაფხულო ჩექმა. მსგავსი დაუცველობა (CVE-2020-1745) აწმყო ვებ სერვერში წაუკითხეთ, გამოიყენება Wildfly აპლიკაციის სერვერზე. JBoss-სა და Wildfly-ში AJP ნაგულისხმევად ჩართულია მხოლოდ standalone-full-ha.xml, standalone-ha.xml და ha/full-ha პროფილებში domain.xml-ში. Spring Boot-ში, AJP მხარდაჭერა გამორთულია ნაგულისხმევად. ამჟამად, სხვადასხვა ჯგუფმა მოამზადა ექსპლოიტების ათზე მეტი სამუშაო მაგალითი (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

დაუცველობა დაფიქსირდა Tomcat-ის გამოშვებებში 9.0.31, 8.5.51 и 7.0.100 (6.x ფილიალის მოვლა შეწყდა). თქვენ შეგიძლიათ თვალყური ადევნოთ განაწილების კომპლექტებში განახლებების ხელმისაწვდომობას ამ გვერდებზე: Debian, Ubuntu, rhel, Fedora, სუსე, FreeBSD. გამოსავლის გამოსავალად, შეგიძლიათ გამორთოთ Tomcat AJP Connector სერვისი (მოსმენის სოკეტის მიბმა localhost-თან ან კომენტარის დატოვება ხაზი Connector პორტით = "8009"), თუ ეს არ არის საჭირო, ან შეიქმნა ავტორიზებული წვდომა "საიდუმლო" და "მისამართის" ატრიბუტების გამოყენებით, თუ სერვისი გამოიყენება სხვა სერვერებთან და პროქსიებთან ურთიერთობისთვის, რომელიც დაფუძნებულია mod_jk და mod_proxy_ajp (mod_cluster არ უჭერს მხარს ავთენტიფიკაციას).

წყარო: opennet.ru