JSP 코드 대체 및 웹 애플리케이션 파일 가져오기를 허용하는 Apache Tomcat의 취약점

중국 회사인 차이틴 테크(Chaitin Tech)의 연구원들은 취약점 (CVE-2020-1938)에서 Apache Tomcat, Java Servlet, JavaServer Pages, Java Expression Language 및 Java WebSocket 기술의 오픈 소스 구현입니다. 이 취약점은 코드명 Ghostcat과 심각한 심각도 수준(9.8 CVSS)으로 지정되었습니다. 이 문제는 기본 구성에서 네트워크 포트 8009로 요청을 전송하여 설정 및 애플리케이션 소스 코드가 있는 파일을 포함하여 웹 애플리케이션 디렉토리에서 모든 파일의 내용을 읽을 수 있도록 허용합니다.

이 취약점으로 인해 다른 파일을 애플리케이션 코드로 가져올 수 있으므로 애플리케이션이 파일을 서버에 업로드하도록 허용하는 경우 서버에서 코드 실행을 구성할 수 있습니다(예: 공격자가 이미지 업로드 양식을 통해 이미지). AJP 핸들러를 사용하여 네트워크 포트에 요청을 전송하여 공격할 수 있습니다. 예비 데이터에 따르면 온라인 설립하다 1.2만 개 이상의 호스트가 AJP 프로토콜을 통해 요청을 수락합니다.

취약점은 AJP 프로토콜에 존재하며, 호출되지 않은 구현 오류. HTTP(포트 8080)를 통한 연결 수락 외에도 Apache Tomcat은 기본적으로 AJP 프로토콜(아파치 JServ 프로토콜, 포트 8009)는 HTTP와 동등한 성능 최적화 바이너리로 Tomcat 서버 클러스터를 생성하거나 리버스 프록시 또는 로드 밸런서에서 Tomcat과의 통신 속도를 높일 때 일반적으로 사용됩니다.

AJP는 공개 대상이 아닌 파일을 얻는 것을 포함하여 사용할 수 있는 서버의 파일에 액세스하기 위한 표준 기능을 제공합니다. AJP는 신뢰할 수 있는 서버에만 액세스할 수 있어야 하지만 실제로 Tomcat의 기본 구성은 모든 네트워크 인터페이스에서 핸들러를 실행하고 인증 없이 요청을 수락하는 것이었습니다. WEB-INF, META-INF 및 ServletContext.getResourceAsStream() 호출을 통해 제공된 기타 디렉토리의 내용을 포함하여 모든 웹 애플리케이션 파일에 액세스할 수 있습니다. AJP를 사용하면 웹 애플리케이션의 액세스 가능한 디렉토리에 있는 모든 파일을 JSP 스크립트로 사용할 수 있습니다.

이 문제는 13년 전에 출시된 Tomcat 6.x 브랜치 이후로 나타났습니다. 직접적인 Tomcat 문제를 제외하고 영향을 미치다 JWS(Red Hat JBoss Web Server), JBoss Enterprise Application Platform(EAP) 및 이를 사용하는 독립형 웹 애플리케이션과 같이 이를 사용하는 제품 봄 부팅. 유사한 취약점(CVE-2020-1745) 선물 웹 서버에서 물가에서 물러가는 물결Wildfly 응용 프로그램 서버에서 사용됩니다. JBoss 및 Wildfly에서 AJP 프로토콜은 기본적으로 standalone-full-ha.xml, standalone-ha.xml 및 domain.xml의 ha/full-ha 프로파일에서만 활성화됩니다. Spring Boot에서 AJP 지원은 기본적으로 비활성화되어 있습니다. XNUMX개 이상의 악용 사례가 여러 그룹에서 준비되었습니다(
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

Tomcat 릴리스에서 수정된 취약점 9.0.31, 8.5.51 и 7.0.100 (유지보수 분기 6.x 단종). 다음 페이지에서 배포판의 업데이트 모양을 따를 수 있습니다. 데비안, Ubuntu, RHEL, 페도라, SUSE, FreeBSD의. 이 문제를 해결하려면 필요하지 않은 경우 Tomcat AJP 커넥터 서비스를 비활성화할 수 있습니다(수신 소켓을 localhost에 바인딩하거나 커넥터 포트 = "8009"로 라인을 주석 처리). настроить 서비스가 mod_jk 및 mod_proxy_ajp(mod_cluster는 인증을 지원하지 않음)를 기반으로 다른 서버 및 프록시와 상호 작용하는 데 사용되는 경우 "비밀" 및 "주소" 속성을 사용하여 인증된 액세스.

출처 : opennet.ru