اگر شما از سرور Apache Tomcat استفاده میکنید، باید آن را سریعاً به آخرین نسخهی موجود ارتقا دهید تا از دسترسی غیرمجاز جلوگیری شود. موضوع نگران کنندهتر، وجود چندین اکسپلویت (روش بهره برداری) منتشر شده است که سهولت نفوذ و سوء استفاده را فراهم کرده است.
تمام نسخههای Apache Tomcat که در 13 سال گذشته منتشر شده است (9.x / 8.x / 7.x / 6.x) در برابرآسیب جدید با شدت مخاطره بالا (CVSS 9.8) آسیب پذیر هستند. مشکل یافت شده، باعث میشود که مهاجم بتواند کنترل سیستم قربانی را به دست بگیرد. نقص مطرح با عنوان ” Ghostcat ” و شناسه CVE-2020-1938 نام گذاری شده است و به مهاجمان به صورت غیرمستقیم اجازه می دهد محتوای هر فایل را روی یک وب سرور آسیب پذیر بخوانند و فایلهای پیکربندی حساس یا کد منبع را بدست آورند و یا اگر آپلود فایل فعال باشد آن را اجرا کنند.
نقص Ghostcat چیست و چگونه کار میکند؟
طبق گفته شرکت سایبر امنیت چینی، Chaitin Tech، این آسیب پذیری در پروتکل AJP نرم افزار Apache Tomcat یافت شده است که به دلیل استفاده نادرست از یک ویژگی ایجاد میشود. پروتکل Apache JServ (AJP) در اصل یک نسخه بهینه شده از پروتکل HTTP است که به Tomcat امکان برقراری ارتباط با یک وب سرور Apache را میدهد. اگر سایت به کاربران امکان بارگذاری فایل را بدهد، یک مهاجم میتواند ابتدا فایل حاوی کد اسکریپت JSP مخرب را بر روی سرور بارگذاری کند (فایل بارگذاری شده به خودی خود میتواند از نوع فایلهایی مانند تصاویر، فایلهای متنی ساده و غیره باشد). فایلی که با استفاده از Ghostcat بارگذاری شده در نهایت میتواند منجر به اجرای کد از راه دور شود.
به مدیران وب اکیداً توصیه میشود که هرچه سریعتر به روزرسانیهای نرم افزار را اعمال کنند و هرگز درگاه AJP را در معرض دید مشتریان غیر قابل اعتماد خود قرار ندهند کاربران باید توجه داشته باشند که در تنظیمات پیش فرض AJP Connector در نسخه 9.0.31 تغییراتی ایجاد شده است تا تنظیمات پیش فرض را سخت تر کند. به احتمال زیاد کاربران در به روز رسانی به نسخه 9.0.31 یا بعد از آن نیاز دارند که تغییراتی جزئی در تنظیمات خود ایجاد کنند.
اما اگر به دلایلی نتوانستید وب سرور خود را بروزرسانی کنید، میتوانید اتصال AJP را غیرفعال کنید یا آدرس آن را به localhost تغییر دهید.
GhostCat: New High-Risk Vulnerability Affects Servers Running Apache Tomcat