Проблема Ghostcat затрагивает все версии Apache Tomcat, выпущенные за последние 13 лет.
В сервере приложений Apache Tomcat обнаружена серьезная
уязвимость, позволяющая перехватить управление уязвимыми системами.
Проблема, получившая название Ghostcat, затрагивает все версии Apache
Tomcat, выпущенные за последние 13 лет.
Уязвимость
содержится в протоколе Apache JServ Protocol (AJP) - двоичном протоколе,
обеспечивающем передачу входящих запросов с web-сервера до сервера
приложений. AJP коннектор по умолчанию включен на всех серверах Tomcat и
слушает порт 8009.
По словам специалистов китайской компании Chaitin, Ghostcat (CVE-2020-1938, CNVD-2020-10487) может использоваться для чтения/записи файлов на сервер Tomcat. К примеру, атакующие могут
получить доступ к конфигурационным файлам приложения и украсть пароли
либо записать файлы на сервер (бэкдоры, web-шеллы и т. д.). Последнее
возможно только в том случае, если какое-либо приложение на сервере
разрешает загрузку файлов.
Уязвимости подвержены следующие ветки Apache Tomcat:
-
Apache Tomcat 9.x < 9.0.31
-
Apache Tomcat 8.x < 8.5.51
-
Apache Tomcat 7.x < 7.0.100
-
Apache Tomcat 6.x
Корректирующие обновления уже доступны для релизов Tomcat 7.x , Tomcat 8.x , и Tomcat 9.x , за исключением ветки 6.x, поддержка которой была прекращена в 2016
году. Согласно результатам поиска BinaryEdge, в настоящее время в Сети
доступно более миллиона Tomcat-серверов. Кроме того, с момента
публикации информации о проблеме на GitHub уже появился ряд PoC-кодов [ 1 , 2 , 3 , 4 , 5 ] для тестирования и осуществления атак Ghostcat.
Tomcat - контейнер сервлетов с открытым исходным кодом,
разрабатываемый Apache Software Foundation. Реализует спецификацию
сервлетов и спецификацию JavaServer Pages (JSP). Написан на языке
Java.Tomcat позволяет запускать web-приложения, содержит ряд программ
для самоконфигурирования.