GhostCat: Nova vulnerabilidade de alto risco afeta servidores Apache Tomcat. Se o servidor da Web estiver em execução no Apache Tomcat, instale imediatamente a versão mais recente disponível do aplicativo no servidor, para impedir que hackers assumam controle não autorizado sobre ele.

Sim, isso é possível porque todas as versões (9.x / 8.x / 7.x / 6.x) do Apache Tomcat lançadas nos últimos 13 anos foram consideradas vulneráveis ​​a um novo bug de alta gravidade (CVSS 9.8) na leitura e inclusão em arquivos que pode ser explorado na configuração padrão.

É mais preocupante porque várias explorações de prova de conceito ( 1 , 2 , 3 , 4  e mais) para essa vulnerabilidade também foram encontrados na Internet, facilitando a invasão de servidores da Web vulneráveis ​​acessíveis ao público.

Apelidada de ‘Ghostcat‘ e rastreada como CVE-2020-1938 , a falha pode permitir que atacantes remotos não autenticados leiam o conteúdo de qualquer arquivo em um servidor Web vulnerável e obtenham arquivos de configuração

ou código-fonte confidenciais ou executem código arbitrário se o servidor permitir o upload de arquivos, como mostra uma demonstração abaixo.

Fonte Twitter- Henry Chen

O que é a falha do Ghostcat e como funciona?

De acordo com a empresa chinesa de segurança cibernética Chaitin Tech , a vulnerabilidade reside no protocolo AJP do software Apache Tomcat que surge devido ao manuseio inadequado de um atributo.

Se o site permitir que os usuários façam upload de arquivo, o invasor poderá primeiro fazer upload de um arquivo que contém código malicioso de script JSP para o servidor (o próprio arquivo carregado pode ser de qualquer tipo de arquivo, como imagens, arquivos de texto sem formatação, etc.) e incluir o arquivo carregado explorando o Ghostcat, que finalmente pode resultar na execução remota de código “, disseram os pesquisadores.

O protocolo Apache JServ Protocol (AJP) é basicamente uma versão otimizada do protocolo HTTP para permitir que o Tomcat se comunique com um servidor Web Apache.

Embora o protocolo AJP seja ativado por padrão e escute na porta TCP 8009, ele está vinculado ao endereço IP 0.0.0.0 e só pode ser explorado remotamente quando acessível a clientes não confiáveis.

De acordo com o ‘onyphe’, um mecanismo de pesquisa de dados de inteligência de código aberto e de ameaças cibernéticas, existem mais de 170.000 dispositivos que estão expondo um AJP Connector a todos pela Internet, no momento em que este foi escrito.

Segunda a descrição do CVE, ao usar o protocolo Apache JServ (AJP), é preciso ter cuidado ao confiar nas conexões de entrada do Apache Tomcat. O Tomcat trata as conexões AJP como tendo maior confiança do que, por exemplo, uma conexão HTTP semelhante. Se essas conexões estiverem disponíveis para um invasor, elas poderão ser exploradas de maneiras surpreendentes. No Apache Tomcat 9.0.0.M1 a 9.0.0.30, 8.5.0 a 8.5.50 e 7.0.0 a 7.0.99, o Tomcat é enviado com um AJP Connector ativado por padrão, que escuta em todos os endereços IP configurados.

Era esperado (e recomendado no guia de segurança) que este conector fosse desativado se não fosse necessário.

Este relatório de vulnerabilidade identificou um mecanismo que permitiu: – retornar arquivos arbitrários de qualquer lugar no aplicativo da web – processar qualquer arquivo no aplicativo da web como um JSP se o aplicativo da web permitia o upload de arquivos e os armazenava dentro do aplicativo da Web (ou o invasor conseguiu controlar o conteúdo do aplicativo da Web por outros meios), isso, junto com a capacidade de processar um arquivo como JSP, possível execução remota de código. É importante observar que a atenuação é necessária apenas se uma porta AJP estiver acessível a usuários não confiáveis.

Vulnerabilidade do Apache Tomcat: Patch e mitigação

Os pesquisadores da Chaitin descobriram e relataram essa falha no mês passado ao projeto Apache Tomcat, que agora lançou as versões Apache Tomcat 9.0.31 , 8.5.51 e 7.0.100 para corrigir o problema.

As versões mais recentes também corrigem 2 outros problemas de contrabando de solicitações HTTP de baixa gravidade (CVE-2020-1935 e CVE-2019-17569).

Os administradores da Web são fortemente recomendados para aplicar as atualizações de software o mais rápido possível e são aconselhados a nunca expor a porta AJP a clientes não confiáveis, porque ela se comunica através do canal inseguro e deve ser usada em uma rede confiável.

Os usuários devem observar que várias alterações foram feitas na configuração padrão do AJP Connector na 9.0.31 para proteger a configuração padrão. É provável que os usuários que atualizam para 9.0.31 ou posterior precisem fazer pequenas alterações em suas configurações como um resultado “, disse a equipe do Tomcat.

No entanto, se, por algum motivo, você não puder atualizar o servidor da Web afetado imediatamente, também poderá desativar o AJP Connector diretamente ou alterar seu endereço de escuta para o host local. Os usuários que desejam adotar uma abordagem de defesa profunda e bloquear o vetor que permite o retorno de arquivos arbitrários e a execução como JSP podem atualizar para o Apache Tomcat 9.0.31, 8.5.51 ou 7.0.100 ou posterior. Várias alterações foram feitas na configuração padrão do AJP Connector na 9.0.31 para proteger a configuração padrão. É provável que os usuários atualizando para 9.0.31, 8.5.51 ou 7.0.100 ou posterior precisem fazer pequenas alterações em suas configurações.

 

Fonte: The Hacker News & CVE2020-1938 & Minuto da Segurança