El error de Ghostcat afecta a todas las versiones de Apache Tomcat lanzadas en los últimos 13 años


ghostcat.png

Los servidores Apache Tomcat lanzados en los últimos 13 años son vulnerables a un mistake llamado Gato fantasma eso puede permitir que los hackers se hagan cargo de los sistemas sin parches.

Descubierto por la firma china de ciberseguridad Chaitin Tech, Gato fantasma es un defecto en el Protocolo Tomcat AJP.

AJP significa Apache JServ Protocol y es una versión de rendimiento optimizado del protocolo HTTP en formato binario. Tomcat utiliza AJP para intercambiar datos con servidores net Apache HTTPD cercanos u otras instancias de Tomcat.

El conector AJP de Tomcat está habilitado de forma predeterminada en todos los servidores Tomcat y escucha en el puerto 8009 del servidor.

Ghostcat puede robar configuraciones, instalar puertas traseras

Los investigadores de Chaitin dicen que descubrieron un error en AJP que puede explotarse para leer o escribir archivos en un servidor Tomcat.

Por ejemplo, los piratas informáticos podrían leer los archivos de configuración de la aplicación y robar contraseñas o tokens API, o podrían escribir archivos en un servidor, como puertas traseras o shells website (el ataque de «escritura» de Ghostcat solo es posible si alguna aplicación alojada en el servidor Tomcat permite usuarios para subir archivos).

La vulnerabilidad de Ghostcat es extensa, por decir lo menos. Afecta a todas las ramas Tomcat 6.x, 7.x, 8.xy 9.x. Apache Tomcat 6.x se lanzó en febrero de 2007, lo que significa que todas las versiones de Tomcat lanzadas en los últimos 13 años deben considerarse abiertas a ataques.

Los investigadores de Chaitin dicen que encontraron el mistake a principios de enero de este año y trabajaron con el proyecto Apache Tomcat para tener parches listos antes de salir a bolsa.

Se publicaron correcciones para Tomcat 7.x, Tomcat 8.xy Tomcat 9.x ramas, pero no para la rama 6.x, que entró en el last de la vida en 2016. El equipo de Chaitin también lanzó una actualización de su herramienta XRAY para que pueda escanear redes en busca de la presencia de servidores vulnerables de Tomcat.

Múltiples exploits de demostración disponibles en GitHub

Los identificadores de vulnerabilidad de Ghostcat son CVE-2020-1938 y CNVD-2020-10487 (Utilizado internamente en China).

Según una búsqueda de BinaryEdge, actualmente hay más de un millón de servidores Tomcat disponibles en línea.

Por tenable, código de prueba de concepto (1, 2, 3, 4 4, 5 5) para probar o lanzar ataques de Ghostcat proliferaron en GitHub después de la divulgación pública del error la semana pasada.

De acuerdo con Snyk, las aplicaciones creadas en el marco Spring Boot Java también son vulnerables, ya que vienen con un servidor Tomcat incluido previamente. Por sombrero rojo, Tomcat también se entrega con otros frameworks y servidores basados ​​en Java, como JBossWeb y JBoss EAP.

Pink Hat recomienda deshabilitar el conector AJP en Tomcat si no se united states, o vincularlo al puerto localhost, ya que la mayor parte del uso de AJP es en entornos de clúster y el puerto 8009 nunca debe exponerse en Internet sin estrictas listas de command de acceso.



Enlace a la noticia initial