Ранливост во Apache Tomcat што ви овозможува да го замените кодот JSP и да добиете датотеки со веб-апликации

Истражувачите од кинеската компанија Chaitin Tech открија ранливост (CVE-2020-1938) во Apache Tomcat, отворена имплементација на Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket технологии. На ранливоста и е доделено кодното име Ghostcat и критично ниво на сериозност (9.8 CVSS). Проблемот овозможува, во стандардната конфигурација, со испраќање барање на мрежната порта 8009, да се прочита содржината на која било датотека од директориумот на веб-апликации, вклучувајќи датотеки со поставки и изворни кодови на апликацијата.

Ранливоста, исто така, овозможува увоз на други датотеки во кодот на апликацијата, што овозможува извршување на кодот на серверот ако апликацијата дозволува датотеките да се подигнат на серверот (на пример, напаѓачот може да прикачи JSP скрипта маскиран како слика преку формуларот за прикачување на сликата). Нападот може да се изврши кога е можно да се испрати барање до мрежна порта со AJP управувач. Според прелиминарните податоци, онлајн пронајден повеќе од 1.2 милиони домаќини прифаќаат барања преку протоколот AJP.

Ранливоста постои во протоколот AJP, и не повикан грешка во имплементацијата. Покрај прифаќањето конекции преку HTTP (порта 8080), Apache Tomcat стандардно дозволува пристап до веб-апликација преку протоколот AJP (Apache Jserv Protocol, порта 8009), кој е бинарен аналог на HTTP оптимизиран за повисоки перформанси, вообичаено се користи при креирање кластер на Tomcat сервери или за забрзување на интеракцијата со Tomcat на обратен прокси или балансер на оптоварување.

AJP обезбедува стандардна функција за пристап до датотеки на серверот, која може да се користи, вклучително и добивање датотеки што не се предмет на откривање. AJP треба да биде достапен само за доверливи сервери, но всушност стандардната конфигурација на Tomcat го активира управувачот на сите мрежни интерфејси и прифаќа барања без автентикација. Пристапот е возможен до сите датотеки на веб-апликации, вклучувајќи ја содржината на WEB-INF, META-INF и сите други директориуми обезбедени преку повик до ServletContext.getResourceAsStream(). AJP исто така ви овозможува да користите која било датотека во директориуми достапни за веб-апликацијата како JSP скрипта.

Проблемот се појавува откако гранката Tomcat 13.x беше објавена пред 6 години. Покрај самиот проблем со Tomcat влијае и производи кои го користат, како што се Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), како и самостојни веб-апликации кои користат Пролетна чизма. Слична ранливост (CVE-2020-1745) присутни во веб-серверот Поддолу, што се користи во серверот за апликации Wildfly. Во JBoss и Wildfly, AJP е стандардно овозможено само во самостојни-полна-ha.xml, самостојни-ha.xml и ha/full-ha профили во domain.xml. Во Spring Boot, поддршката за AJP е стандардно оневозможена. Во моментов, различни групи имаат подготвено повеќе од десетина работни примери на експлоатации (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

Поправена е ранливоста во изданијата на Tomcat 9.0.31, 8.5.51 и 7.0.100 (одржување на гранката 6.x прекината). Можете да ја следите достапноста на ажурирањата во комплетите за дистрибуција на овие страници: Debian, Ubuntu, RHEL, Fedora, СУEЕ, FreeBSD. Како решение, можете да ја оневозможите услугата Tomcat AJP Connector (поврзете приклучок за слушање на localhost или коментирајте ја линијата со приклучок за конектор = „8009“) ако не е потребно, или постави автентициран пристап со користење на атрибутите „тајна“ и „адреса“, доколку услугата се користи за интеракција со други сервери и прокси базирани на mod_jk и mod_proxy_ajp (mod_cluster не поддржува автентикација).

Извор: opennet.ru