ຊ່ອງໂຫວ່ໃນ Apache Tomcat ທີ່ອະນຸຍາດໃຫ້ປ່ຽນລະຫັດ JSP ແລະຮັບໄຟລ໌ແອັບພລິເຄຊັນເວັບ

ນັກຄົ້ນຄວ້າຈາກບໍລິສັດ Chaitin Tech ຂອງຈີນໄດ້ຄົ້ນພົບ ຄວາມອ່ອນແອ (CVE-2020-1938) ທີ່ tomcat Apache, ການປະຕິບັດແບບເປີດຂອງ Java Servlet, JavaServer Pages, Java Expression Language ແລະ Java WebSocket technologies. ຊ່ອງໂຫວ່ໄດ້ຖືກມອບຫມາຍຊື່ລະຫັດ Ghostcat ແລະລະດັບຄວາມຮຸນແຮງທີ່ສໍາຄັນ (9.8 CVSS). ບັນຫາດັ່ງກ່າວອະນຸຍາດໃຫ້, ໃນການຕັ້ງຄ່າເລີ່ມຕົ້ນ, ໂດຍການສົ່ງຄໍາຮ້ອງຂໍກ່ຽວກັບພອດເຄືອຂ່າຍ 8009, ເພື່ອອ່ານເນື້ອຫາຂອງໄຟລ໌ໃດໆຈາກໄດເລກະທໍລີແອັບພລິເຄຊັນເວັບ, ລວມທັງໄຟລ໌ທີ່ມີການຕັ້ງຄ່າແລະລະຫັດແຫຼ່ງແອັບພລິເຄຊັນ.

ຊ່ອງໂຫວ່ຍັງເຮັດໃຫ້ມັນສາມາດນໍາເຂົ້າໄຟລ໌ອື່ນໆເຂົ້າໄປໃນລະຫັດແອັບພລິເຄຊັນ, ເຊິ່ງອະນຸຍາດໃຫ້ປະຕິບັດລະຫັດໃນເຄື່ອງແມ່ຂ່າຍຖ້າແອັບພລິເຄຊັນອະນຸຍາດໃຫ້ອັບໂຫລດໄຟລ໌ໄປຫາເຄື່ອງແມ່ຂ່າຍ (ຕົວຢ່າງເຊັ່ນ, ຜູ້ໂຈມຕີສາມາດອັບໂຫລດ JSP script ປອມເປັນຮູບພາບຜ່ານ. ຮູບ​ແບບ​ການ​ອັບ​ໂຫຼດ​ຮູບ​ພາບ​)​. ການໂຈມຕີສາມາດປະຕິບັດໄດ້ໃນເວລາທີ່ສາມາດສົ່ງຄໍາຮ້ອງຂໍໄປຍັງພອດເຄືອຂ່າຍທີ່ມີຕົວຈັດການ AJP. ອີງຕາມຂໍ້ມູນເບື້ອງຕົ້ນ, ອອນໄລນ໌ ພົບ ຫຼາຍກວ່າ 1.2 ລ້ານເຈົ້າພາບທີ່ຍອມຮັບການຮ້ອງຂໍຜ່ານໂປໂຕຄອນ AJP.

ຊ່ອງໂຫວ່ມີຢູ່ໃນໂປໂຕຄອນ AJP, ແລະ ບໍ່ໄດ້ເອີ້ນວ່າ ຄວາມ​ຜິດ​ພາດ​ໃນ​ການ​ປະ​ຕິ​ບັດ​. ນອກເຫນືອຈາກການຍອມຮັບການເຊື່ອມຕໍ່ຜ່ານ HTTP (ພອດ 8080), Apache Tomcat ໂດຍຄ່າເລີ່ມຕົ້ນອະນຸຍາດໃຫ້ເຂົ້າເຖິງແອັບພລິເຄຊັນເວັບຜ່ານໂປໂຕຄອນ AJP (Apache Jserv Protocol, port 8009), ເຊິ່ງເປັນ analogue binary ຂອງ HTTP ທີ່ຖືກປັບປຸງໃຫ້ດີຂຶ້ນສໍາລັບການປະຕິບັດທີ່ສູງຂຶ້ນ, ປົກກະຕິແລ້ວໃຊ້ໃນເວລາທີ່ສ້າງ cluster ຂອງເຄື່ອງແມ່ຂ່າຍ Tomcat ຫຼືເພື່ອເລັ່ງການໂຕ້ຕອບກັບ Tomcat ໃນ proxy reverse ຫຼື load balancer.

AJP ສະຫນອງຫນ້າທີ່ມາດຕະຖານສໍາລັບການເຂົ້າເຖິງໄຟລ໌ໃນເຄື່ອງແມ່ຂ່າຍ, ເຊິ່ງສາມາດນໍາໃຊ້ໄດ້, ລວມທັງການໄດ້ຮັບໄຟລ໌ທີ່ບໍ່ຂຶ້ນກັບການເປີດເຜີຍ. AJP ຄວນຈະສາມາດເຂົ້າເຖິງໄດ້ກັບເຄື່ອງແມ່ຂ່າຍທີ່ເຊື່ອຖືໄດ້ເທົ່ານັ້ນ, ແຕ່ຄວາມຈິງແລ້ວການຕັ້ງຄ່າເລີ່ມຕົ້ນຂອງ Tomcat ແລ່ນຕົວຈັດການໃນທຸກການໂຕ້ຕອບຂອງເຄືອຂ່າຍແລະການຮ້ອງຂໍທີ່ຍອມຮັບໂດຍບໍ່ມີການຢືນຢັນ. ເຂົ້າເຖິງໄຟລ໌ແອັບພລິເຄຊັນເວັບຕ່າງໆ, ລວມທັງເນື້ອໃນຂອງ WEB-INF, META-INF ແລະໄດເລກະທໍລີອື່ນໆທີ່ສະໜອງໃຫ້ຜ່ານການໂທຫາ ServletContext.getResourceAsStream(). AJP ຍັງອະນຸຍາດໃຫ້ທ່ານໃຊ້ໄຟລ໌ໃດໆໃນໄດເລກະທໍລີທີ່ສາມາດເຂົ້າເຖິງແອັບພລິເຄຊັນເວັບເປັນ JSP script.

ບັນຫາໄດ້ປະກົດຂຶ້ນນັບຕັ້ງແຕ່ສາຂາ Tomcat 13.x ປ່ອຍອອກມາເມື່ອ 6 ປີກ່ອນ. ຍົກເວັ້ນ Tomcat ຕົວຂອງມັນເອງເປັນບັນຫາ ມີຜົນກະທົບ ແລະຜະລິດຕະພັນທີ່ນໍາໃຊ້ມັນ, ເຊັ່ນ Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), ເຊັ່ນດຽວກັນກັບຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ທີ່ປະກອບດ້ວຍຕົນເອງທີ່ໃຊ້. ເກີບໃສ່ພາກຮຽນ spring. ຊ່ອງໂຫວ່ທີ່ຄ້າຍຄືກັນ (CVE-2020-1745) ປະຈຸບັນ ໃນເວັບເຊີບເວີ Undertow, ໃຊ້ໃນເຊີບເວີແອັບພລິເຄຊັນ Wildfly. ໃນ JBoss ແລະ Wildfly, AJP ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນພຽງແຕ່ຢູ່ໃນໂປຣໄຟລ໌ standalone-full-ha.xml, standalone-ha.xml ແລະ ha/full-ha ໃນ domain.xml. ໃນ Spring Boot, ການສະຫນັບສະຫນູນ AJP ແມ່ນຖືກປິດໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ. ປະຈຸ​ບັນ, ບັນດາ​ກຸ່ມ​ຕ່າງໆ​ໄດ້​ກະກຽມ​ຕົວ​ຢ່າງ​ທີ່​ເຮັດ​ວຽກ​ຫຼາຍ​ກວ່າ​ສິບ​ຄົນ​ກ່ຽວ​ກັບ​ການ​ຂຸດ​ຄົ້ນ (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

ຊ່ອງໂຫວ່ຖືກແກ້ໄຂໃນການປ່ອຍ Tomcat 9.0.31, 8.5.51 и 7.0.100 (ການບໍາລຸງຮັກສາສາຂາ 6.x ຢຸດເຊົາ). ທ່ານ​ສາ​ມາດ​ຕິດ​ຕາມ​ການ​ມີ​ຂອງ​ການ​ປັບ​ປຸງ​ໃນ​ຊຸດ​ການ​ແຜ່​ກະ​ຈາຍ​ຢູ່​ໃນ​ຫນ້າ​ເຫຼົ່າ​ນີ້​: Debian, Ubuntu, RHEL, Fedora, ຊູດ, FreeBSD. ເປັນການແກ້ໄຂບັນຫາ, ທ່ານສາມາດປິດບໍລິການ Tomcat AJP Connector (ຜູກມັດຊ່ອງສຽບການຟັງກັບ localhost ຫຼືສະແດງຄວາມຄິດເຫັນອອກສາຍດ້ວຍ Connector port = "8009") ຖ້າມັນບໍ່ຈໍາເປັນ, ຫຼື ປບັ ການເຂົ້າເຖິງການກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ຄຸນລັກສະນະ "ຄວາມລັບ" ແລະ "ທີ່ຢູ່", ຖ້າບໍລິການຖືກໃຊ້ເພື່ອໂຕ້ຕອບກັບເຄື່ອງແມ່ຂ່າຍແລະຕົວແທນອື່ນໆໂດຍອີງໃສ່ mod_jk ແລະ mod_proxy_ajp (mod_cluster ບໍ່ສະຫນັບສະຫນູນການກວດສອບຄວາມຖືກຕ້ອງ).

ແຫຼ່ງຂໍ້ມູນ: opennet.ru