Lỗ hổng GhostCat trên máy chủ chạy Apache Tomcat

Nếu trang web của bạn có máy chủ chạy trên Apache Tomcat thì bạn nên cài đặt ngay phiên bản mới nhất của ứng dụng máy chủ này để tránh bị hacker chiếm quyền kiểm soát trái phép.

Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua được phát hiện có lỗi nghiêm trọng mới (CVSS 9.8). Đây là lỗi ‘file read and inclusion bug’ (một lỗi truy cập hoặc chạy tập tin độc hại trái phép thường gặp trên máy chủ web) có thể bị khai thác trong cấu hình mặc định.

Tuy nhiên, lỗi này đáng lo hơn vì trên mạng đã xuất hiện mã khai thác PoC (xem các ví dụ trên github 1, 2, 3, 4, v.v.), giúp kẻ xấu dễ dàng xâm nhập vào các máy chủ web dễ kết nối đang gặp lỗi.

Lỗ hổng được đặt tên là ‘Ghostcat’ và được đánh dấu là CVE-2020-1938. Nó cho phép những kẻ tấn công từ xa chưa được xác thực đọc nội dung của bất kỳ tệp nào trên máy chủ web gặp lỗi và lấy tệp cấu hình, mã nguồn nhạy cảm hay thực thi mã tùy ý nếu máy chủ cho phép tải tệp lên.

Image result for Ghostcat

Ghostcat là gì và hoạt động như thế nào?

Theo công ty an ninh mạng Trung Quốc Chaitin Tech, lỗ hổng này nằm trong giao thức AJP (Apache JServ Protocol – một loại giao thức nhị phân) của Apache Tomcat. Lỗi này phát sinh do xử lý không đúng một thuộc tính.

Các nhà nghiên cứu cho biết “Nếu trang web cho phép người dùng tải tệp lên, đầu tiên kẻ tấn công có thể tải tệp chứa mã script JSP độc hại lên máy chủ (có thể là bất kỳ loại tệp nào như hình ảnh, văn bản thuần túy, v.v.). Sau đó sẽ thêm các tập tin được tải lên bằng cách khai thác Ghostcat, cuối cùng là thực thi mã từ xa”.

Giao thức AJP về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.

Mặc dù giao thức AJP được bật mặc định và kết nối (Listens) tại cổng TCP 8009 nhưng nó lại bị ràng buộc với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi truy cập vào các máy khách không đáng tin.

Theo ONYPHE (một công cụ tìm kiếm dữ liệu đe dọa mạng và nguồn mở), có hơn 170.000 thiết bị đang để công khai Trình kết nối AJP cho mọi người thông qua Internet tại thời hiện tại.

Bản vá và giảm thiểu rủi ro từ lỗ hổng Apache Tomcat

Tháng trước, các nhà nghiên cứu tại Chaitin đã tìm thấy và báo cáo lỗ hổng này cho Apache Tomcat. Sau đó công ty đã phát hành các phiên bản Apache Tomcat 9.0.31, 8.5.51 và 7.0.100 để khắc phục vấn đề.

Các bản phát hành mới nhất cũng khắc phục 2 HTTP request smuggling (một loại kỹ thuật tấn công nhắm đến HTTP) ít nghiêm trọng hơn là CVE-2020-1935 và CVE-2019-17569. 

Các web admin được khuyến nghị nên sử dụng các bản cập nhật phần mềm càng sớm càng tốt,  không để lộ cổng AJP cho các máy khách không đáng tin và sử dụng mạng đáng tin cậy.

Nhóm Tomcat nói “Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm tăng độ mạnh cấu hình mặc định. Người dùng nâng cấp lên bản 9.0.31 trở lên sẽ cần thực hiện một số thay đổi nhỏ đối với cấu hình cũ”.

Nếu không thể nâng cấp máy chủ web bị bị lỗi ngay lập tức, bạn cũng có thể trực tiếp vô hiệu hóa Trình kết nối AJP hoặc thay đổi địa chỉ kết nối của nó thành localhost.

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.