Ghostcat este o vulnerabilitate critică în Tomcat descoperită de cercetătorul de securitate al Chaitin Tech.
Din
cauza unui defect în protocolul Tomcat AJP (Protocolul Apache JServ),
un atacator poate citi sau include orice fișiere în directoarele webapp
ale Tomcat. De exemplu, un atacator poate citi fișierele de configurare
webapp sau codul sursă. În plus, dacă aplicația web țintă are o funcție
de încărcare a fișierelor, atacatorul poate executa cod rău intenționat
pe gazda vizând exploatarea includerii fișierului prin vulnerabilitatea
Ghostcat.
Această vulnerabilitate afectează toate versiunile
Tomcat în configurația implicită (când am constatat această
vulnerabilitate, s-a confirmat că a afectat toate versiunile Tomcat
9/8/7/6), ceea ce înseamnă că a fost în Tomcat mai bine de un deceniu.
Această vulnerabilitate afectează conectorul Tomcat AJP. De câteva zile, a fost observat un port de scanare TCP / 8009.
Sistemele Apache Tomcat potențial afectate:
• 7.0.99 și versiunile mai mici
• 8.5.50 și versiunile mai mici
• 9.0.30 și versiunile mai mici
NOTĂ: Apache Tomcat 6 este afectat, dar Apache nu a lansat o corecție, deoarece nu mai este în support.
Orange Moldova CERT recomandă, în cazul în care este utilizat conector AJP, vă rugăm să urmați instrucțiunile de mai jos:
• Upgrade la versiunea fixată.
• Configurați atributul “secret” pentru conectorul AJP pentru a seta protocolul de autentificare AJP