ភាពងាយរងគ្រោះនៅក្នុង Apache Tomcat ដែលអនុញ្ញាតឱ្យជំនួសកូដ JSP និងទទួលបានឯកសារកម្មវិធីគេហទំព័រ

អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុនចិន Chaitin Tech បានរកឃើញ ភាពងាយរងគ្រោះ (CVE-2020-1938) ក្នុង Apache Tomcatដែលជាការអនុវត្តបើកចំហនៃ Java Servlet, JavaServer Pages, Java Expression Language និងបច្ចេកវិទ្យា Java WebSocket ។ ភាពងាយរងគ្រោះត្រូវបានផ្តល់ឈ្មោះកូដ Ghostcat និងកម្រិតធ្ងន់ធ្ងរ (9.8 CVSS)។ បញ្ហាអនុញ្ញាតឱ្យនៅក្នុងការកំណត់លំនាំដើមដោយការផ្ញើសំណើនៅលើច្រកបណ្តាញ 8009 ដើម្បីអានមាតិកានៃឯកសារណាមួយពីថតកម្មវិធីគេហទំព័រ រួមទាំងឯកសារដែលមានការកំណត់ និងកូដប្រភពកម្មវិធី។

ភាពងាយរងគ្រោះនេះក៏ធ្វើឱ្យវាអាចនាំចូលឯកសារផ្សេងទៀតចូលទៅក្នុងកូដកម្មវិធី ដែលអនុញ្ញាតឱ្យដំណើរការកូដនៅលើម៉ាស៊ីនមេ ប្រសិនបើកម្មវិធីអនុញ្ញាតឱ្យផ្ទុកឯកសារឡើងទៅកាន់ម៉ាស៊ីនមេ (ឧទាហរណ៍ អ្នកវាយប្រហារអាចបង្ហោះស្គ្រីប JSP ដែលក្លែងបន្លំជារូបភាពតាមរយៈ ទម្រង់ផ្ទុកឡើងរូបភាព) ។ ការវាយប្រហារអាចត្រូវបានអនុវត្តនៅពេលដែលវាអាចធ្វើទៅបានដើម្បីផ្ញើសំណើទៅកាន់ច្រកបណ្តាញដែលមានឧបករណ៍ដោះស្រាយ AJP ។ នេះ​បើ​តាម​ទិន្នន័យ​បឋម​តាម​អ៊ីនធឺណិត បានរកឃើញ ម៉ាស៊ីនជាង 1.2 លាននាក់ទទួលយកសំណើតាមរយៈពិធីការ AJP ។

ភាពងាយរងគ្រោះមាននៅក្នុងពិធីការ AJP និង មិនបានហៅ កំហុសក្នុងការអនុវត្ត។ បន្ថែមពីលើការទទួលយកការតភ្ជាប់តាមរយៈ HTTP (ច្រក 8080) Apache Tomcat តាមលំនាំដើមអនុញ្ញាតឱ្យចូលប្រើកម្មវិធីបណ្តាញតាមរយៈពិធីការ AJP (ពិធីការ Apache Jserv, ច្រក 8009) ដែលជា analogue binary នៃ HTTP ដែលត្រូវបានធ្វើឱ្យប្រសើរសម្រាប់ដំណើរការខ្ពស់ជាងនេះ ដែលជាធម្មតាត្រូវបានប្រើនៅពេលបង្កើត cluster នៃ Tomcat servers ឬដើម្បីបង្កើនល្បឿនអន្តរកម្មជាមួយ Tomcat នៅលើប្រូកស៊ីបញ្ច្រាស ឬ load balancer ។

AJP ផ្តល់មុខងារស្តង់ដារសម្រាប់ការចូលប្រើឯកសារនៅលើម៉ាស៊ីនមេ ដែលអាចប្រើបាន រួមទាំងការទទួលបានឯកសារដែលមិនមែនជាកម្មវត្ថុនៃការបង្ហាញ។ AJP ត្រូវបានគេសន្មត់ថាអាចចូលប្រើបានតែចំពោះម៉ាស៊ីនមេដែលជឿទុកចិត្តប៉ុណ្ណោះ ប៉ុន្តែតាមពិតការកំណត់រចនាសម្ព័ន្ធលំនាំដើមរបស់ Tomcat បានដំណើរការកម្មវិធីគ្រប់គ្រងលើចំណុចប្រទាក់បណ្តាញទាំងអស់ និងបានទទួលយកសំណើដោយគ្មានការផ្ទៀងផ្ទាត់។ ការចូលប្រើគឺអាចធ្វើទៅបានចំពោះឯកសារកម្មវិធីគេហទំព័រណាមួយ រួមទាំងមាតិកានៃ WEB-INF, META-INF និងថតផ្សេងទៀតដែលបានផ្តល់តាមរយៈការហៅទៅកាន់ ServletContext.getResourceAsStream()។ AJP ក៏អនុញ្ញាតឱ្យអ្នកប្រើឯកសារណាមួយនៅក្នុងថតដែលអាចចូលប្រើកម្មវិធីគេហទំព័រជាស្គ្រីប JSP ។

បញ្ហានេះបានលេចឡើងតាំងពីសាខា Tomcat 13.x ដែលបានចេញផ្សាយកាលពី 6 ឆ្នាំមុន។ បន្ថែមពីលើបញ្ហា Tomcat ខ្លួនឯង ប៉ះពាល់ និងផលិតផលដែលប្រើវាដូចជា Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP) ក៏ដូចជាកម្មវិធីគេហទំព័រដែលប្រើដោយខ្លួនឯងដែលប្រើ។ ស្បែកជើងនិទាឃរដូវ. ភាពងាយរងគ្រោះស្រដៀងគ្នា (CVE-2020-1745) បច្ចុប្បន្ន នៅក្នុងម៉ាស៊ីនមេគេហទំព័រ Undertowប្រើក្នុងម៉ាស៊ីនមេកម្មវិធី Wildfly ។ នៅក្នុង JBoss និង Wildfly, AJP ត្រូវបានបើកតាមលំនាំដើមតែនៅក្នុងទម្រង់ standalone-full-ha.xml, standalone-ha.xml និង ha/full-ha ក្នុងទម្រង់ domain.xml ប៉ុណ្ណោះ។ នៅក្នុង Spring Boot ការគាំទ្រ AJP ត្រូវបានបិទតាមលំនាំដើម។ បច្ចុប្បន្ន​នេះ ក្រុម​ផ្សេង​គ្នា​បាន​រៀបចំ​ឧទាហរណ៍​ការងារ​ជាង​មួយ​សិប​នៃ​ការ​កេងប្រវ័ញ្ច (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

ភាពងាយរងគ្រោះត្រូវបានជួសជុលនៅក្នុងការចេញផ្សាយ Tomcat 9.0.31, 8.5.51 и 7.0.100 (ការថែរក្សាសាខា 6.x បានបញ្ឈប់) អ្នកអាចតាមដានភាពអាចរកបាននៃការអាប់ដេតនៅក្នុងកញ្ចប់ចែកចាយនៅលើទំព័រទាំងនេះ៖ ដេបៀន, គូប៊ុនទូ, អរ, Fedora, ស៊ូស៊ី, FreeBSD. ជាដំណោះស្រាយមួយ អ្នកអាចបិទសេវាកម្ម Tomcat AJP Connector (ភ្ជាប់រន្ធស្តាប់ទៅ localhost ឬបញ្ចេញមតិលើបន្ទាត់ជាមួយ Connector port = "8009") ប្រសិនបើវាមិនត្រូវការ ឬ រៀបចំ ការចូលប្រើដែលបានផ្ទៀងផ្ទាត់ដោយប្រើលក្ខណៈ "សម្ងាត់" និង "អាសយដ្ឋាន" ប្រសិនបើសេវាកម្មត្រូវបានប្រើដើម្បីធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនមេ និងប្រូកស៊ីផ្សេងទៀតដោយផ្អែកលើ mod_jk និង mod_proxy_ajp (mod_cluster មិនគាំទ្រការផ្ទៀងផ្ទាត់) ។

ប្រភព: opennet.ru