آسیب پذیری با درجه خطر بالا روی سرورهای Apache Tomcat

GhostCat Vulnerability

اگر شما از سرور Apache Tomcat  استفاده می‌کنید، باید آن را سریعاً به آخرین نسخه‌ی موجود ارتقا دهید تا از دسترسی غیرمجاز جلوگیری شود. موضوع نگران کننده‌تر، وجود چندین اکسپلویت (روش بهره برداری) منتشر شده است که سهولت نفوذ و سوء استفاده را فراهم کرده است.

تمام نسخه‌های  Apache Tomcat که در 13 سال گذشته منتشر شده است (9.x / 8.x / 7.x / 6.x) در برابرآسیب جدید با شدت مخاطره بالا (CVSS 9.8) آسیب پذیر هستند. مشکل یافت شده، باعث می‌شود که مهاجم بتواند کنترل سیستم قربانی را به دست بگیرد. نقص مطرح با عنوان ” Ghostcat ” و شناسه CVE-2020-1938 نام گذاری شده است و به مهاجمان به صورت  غیرمستقیم اجازه می دهد محتوای هر فایل را روی یک وب سرور آسیب پذیر بخوانند و فایل‌های پیکربندی حساس یا کد منبع را بدست آورند و یا اگر آپلود فایل فعال باشد آن را اجرا کنند.

نقص Ghostcat چیست و چگونه کار می‌کند؟

طبق گفته شرکت سایبر امنیت چینی، Chaitin Tech، این آسیب پذیری در پروتکل AJP نرم افزار Apache Tomcat یافت شده است که به دلیل استفاده نادرست از یک ویژگی ایجاد می‌شود. پروتکل Apache JServ (AJP) در اصل یک نسخه بهینه شده از پروتکل HTTP است که به Tomcat امکان برقراری ارتباط با یک وب سرور Apache را می‌دهد. اگر سایت به کاربران امکان بارگذاری فایل را بدهد‌، یک مهاجم می‌تواند ابتدا فایل حاوی کد اسکریپت JSP مخرب را بر روی سرور بارگذاری کند (فایل بارگذاری شده به خودی خود می‌تواند از نوع فایل‌هایی مانند تصاویر‌، فایل‌های متنی ساده و غیره باشد). فایلی که با استفاده از Ghostcat بارگذاری شده  در نهایت می‌تواند منجر به اجرای کد از راه دور شود.

به مدیران وب اکیداً توصیه می‌شود که هرچه سریعتر به روزرسانی‌های نرم افزار را اعمال کنند و هرگز درگاه AJP را در معرض دید مشتریان غیر قابل اعتماد خود قرار ندهند  کاربران باید توجه داشته باشند که در تنظیمات پیش فرض AJP Connector در نسخه 9.0.31 تغییراتی ایجاد شده است تا تنظیمات پیش فرض را سخت تر کند. به احتمال زیاد کاربران  در به روز رسانی به نسخه 9.0.31 یا بعد از آن نیاز دارند که تغییراتی جزئی در تنظیمات خود ایجاد کنند.

اما اگر به دلایلی نتوانستید وب سرور خود را بروزرسانی کنید‌، می‌توانید اتصال AJP را غیرفعال کنید یا آدرس آن را به localhost تغییر دهید.

GhostCat: New High-Risk Vulnerability Affects Servers Running Apache Tomcat