וואַלנעראַביליטי אין Apache Tomcat וואָס אַלאַוז סאַבסטיטושאַן פון JSP קאָד און באַקומען וועב אַפּלאַקיישאַן טעקעס

רעסעאַרטשערס פון די כינעזיש פירמע Chaitin Tech האָבן דיסקאַווערד וואַלנעראַביליטי (CVE-2020-1938) אין אַפּאַטשי טאָמקאַט, אַן אָפֿן ימפּלאַמענטיישאַן פון Java Servlet, JavaServer Pages, Java Expression Language און Java WebSocket טעקנאַלאַדזשיז. די וואַלנעראַביליטי איז אַסיינד די קאָד נאָמען Ghostcat און אַ קריטיש שטרענגקייַט מדרגה (9.8 CVSS). דער פּראָבלעם אַלאַוז, אין די פעליקייַט קאַנפיגיעריישאַן, דורך שיקן אַ בקשה אויף נעץ פּאָרט 8009, צו לייענען די אינהאַלט פון קיין טעקעס פֿון די וועב אַפּלאַקיישאַן וועגווייַזער, אַרייַנגערעכנט טעקעס מיט סעטטינגס און אַפּלאַקיישאַן מקור קאָודז.

די וואַלנעראַביליטי אויך מאכט עס מעגלעך צו אַרייַנפיר אנדערע טעקעס אין די אַפּלאַקיישאַן קאָד, וואָס אַלאַוז קאָד דורכפירונג אויף די סערווער אויב די אַפּלאַקיישאַן אַלאַוז טעקעס צו זיין ופּלאָאַדעד צו די סערווער (למשל, אַ אַטאַקער קענען צופֿעליקער אַ JSP שריפט דיסגייזד ווי אַ בילד דורך די בילד ופּלאָאַד פאָרעם). די באַפאַלן קענען זיין דורכגעקאָכט ווען עס איז מעגלעך צו שיקן אַ בקשה צו אַ נעץ פּאָרט מיט אַ AJP האַנדלער. לויט פּרילימאַנערי דאַטן, אָנליין געפונען מער ווי 1.2 מיליאָן מחנות אָננעמען ריקוועס דורך די AJP פּראָטאָקאָל.

די וואַלנעראַביליטי יגזיסץ אין די AJP פּראָטאָקאָל, און נישט גערופן טעות אין ימפּלאַמענטיישאַן. אין אַדישאַן צו אָננעמען קאַנעקשאַנז דורך הטטפּ (פּאָרט 8080), Apache Tomcat דורך פעליקייַט אַלאַוז אַקסעס צו אַ וועב אַפּלאַקיישאַן דורך די AJP פּראָטאָקאָל (אַפּאַטשי דזשסערוו פּראָטאָקאָל, פּאָרט 8009), וואָס איז אַ ביינערי אַנאַלאָג פון הטטפּ אָפּטימיזעד פֿאַר העכער פאָרשטעלונג, יוזשאַוואַלי געניצט ווען קריייטינג אַ קנויל פון Tomcat סערווערס אָדער צו פאַרגיכערן ינטעראַקשאַן מיט Tomcat אויף אַ פאַרקערט פּראַקסי אָדער מאַסע באַלאַנסער.

AJP גיט אַ נאָרמאַל פונקציע פֿאַר אַקסעס טעקעס אויף די סערווער, וואָס קענען זיין געוויינט, אַרייַנגערעכנט קריגן טעקעס וואָס זענען נישט אונטערטעניק צו אַנטפּלעקונג. AJP איז געמיינט צו זיין צוטריטלעך בלויז פֿאַר טראַסטיד סערווערס, אָבער אין פאַקט, די פעליקייַט קאַנפיגיעריישאַן פון Tomcat האט לויפן די האַנדלער אויף אַלע נעץ ינטערפייסיז און אנגענומען ריקוועס אָן אָטענטאַקיישאַן. אַקסעס איז מעגלעך צו קיין וועב אַפּלאַקיישאַן טעקעס, אַרייַנגערעכנט די אינהאַלט פון WEB-INF, META-INF און קיין אנדערע דירעקטעריז צוגעשטעלט דורך אַ רופן צו ServletContext.getResourceAsStream(). AJP אויך אַלאַוז איר צו נוצן קיין טעקע אין דירעקטעריז צוטריטלעך צו די וועב אַפּלאַקיישאַן ווי אַ JSP שריפט.

דער פּראָבלעם איז ארויס זינט די Tomcat 13.x צווייַג באפרייט 6 יאָר צוריק. אין דערצו צו די Tomcat פּראָבלעם זיך אַפעקץ און פּראָדוקטן וואָס נוצן עס, אַזאַ ווי Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), ווי געזונט-קאַנטיינד וועב אַפּלאַקיישאַנז וואָס נוצן פרילינג שטיוול. ענלעכע וואַלנעראַביליטי (CVE-2020-1745) פאָרשטעלן אין די וועב סערווער ונדערטאָוו, געוויינט אין די Wildfly אַפּלאַקיישאַן סערווער. אין JBoss און Wildfly, AJP איז ענייבאַלד דורך פעליקייַט בלויז אין סטאַנדאַלאָנע-full-ha.xml, סטאַנדאַלאָנע-ha.xml און ha/full-ha פּראָופיילז אין domain.xml. אין פרילינג שטיוול, AJP שטיצן איז פאַרקריפּלט דורך פעליקייַט. דערווייַל, פאַרשידענע גרופּעס האָבן צוגעגרייט מער ווי אַ טוץ ארבעטן ביישפילן פון עקספּלויץ (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

וואַלנעראַביליטי פאַרפעסטיקט אין Tomcat ריליסיז 9.0.31, 8.5.51 и 7.0.100 (וישאַלט פון די 6.x צווייַג אָפּגעשטעלט). איר קענען שפּור די אַוויילאַבילאַטי פון דערהייַנטיקונגען אין פאַרשפּרייטונג קיץ אויף די בלעטער: דעביאַן, ובונטו, rhel, פעדאָראַ, sususe, FreeBSD. ווי אַ וואָרקאַראָונד, איר קענען דיסייבאַל די Tomcat AJP קאַנעקטער דינסט (בינדן אַ צוגעהערט כאָלעל צו לאָקאַלהאָסט אָדער באַמערקן די שורה מיט קאַנעקטער פּאָרט = "8009") אויב עס איז ניט דארף, אָדער ניגן אָטענטאַקייטיד אַקסעס ניצן די "סוד" און "אַדרעס" אַטריביוץ, אויב די סערוויס איז געניצט צו ינטעראַקט מיט אנדערע סערווערס און פּראַקסיז באזירט אויף mod_jk און mod_proxy_ajp (מאָד_קלאַסטער שטיצט נישט אָטענטאַקיישאַן).

מקור: opennet.ru