Lỗ hổng bảo mật Apache Tomcat chiếm quyền điều khiển máy chủ

Theo chuyên gia của WhiteHat.vn, việc phát hiện và vá lỗi hệ thống cần phải thực hiện ngay lập tức nhằm tránh bị khai thác. Để giúp cho các quản trị viên đánh giá hệ thống một cách thuận tiện, WhiteHat.vn đã phát hành công cụ kiểm tra lỗ hổng Ghostcat miễn phí tại https://tools.whitehat.vn. Với công cụ này, quản trị chỉ cần nhập địa chỉ server của mình và bấm nút kiểm tra. Trường hợp hệ thống vẫn tồn tại lỗ hổng, công cụ sẽ đưa ra hướng dẫn cụ thể để cập nhật bản vá.

Ngày 29/02/2020: Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong suốt 13 năm qua được phát hiện tồn tại lỗ hổng ‘file read and inclusion’ (đọc và truy cập trái phép vào tệp tin nhạy cảm trên máy chủ web) nghiêm trọng, có thể bị khai thác nếu sử dụng cấu hình mặc định.

Điều đáng ngại là một số PoC của lỗ hổng này đã xuất hiện trên mạng nên ai cũng có thể xâm nhập vào các máy chủ web dính lỗ hổng.
Lỗ hổng GhostCat (CVE-2020-1938) có điểm CVSS 9.8 cho phép kẻ tấn công trái phép từ xa đọc nội dung file bất kỳ trên các máy chủ web tồn tại lỗ hổng, truy cập các file cấu hình nhạy cảm hoặc mã nguồn, hay thực thi mã tùy ý nếu máy chủ cho phép tải file.
Lỗ hổng Ghostcat và cách thức khai thác
Theo hãng bảo mật Chaitin Tech, lỗ hổng lợi dụng cách giao thức AJP của Apache Tomcat để xử lý các thuộc tính.
“Nếu trang cho phép người dùng tải file lên, trước hết kẻ tấn công có thể tải file chứa đoạn code JSP script độc hại lên máy chủ (ảnh, text …), sau đó khai thác Ghostcat, để thực thi mã từ xa”.
Giao thức Apache JServ Protocol (AJP) về cơ bản là một phiên bản được tối ưu hóa của giao thức HTTP cho phép Tomcat giao tiếp với máy chủ web Apache.

Dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng lại bị gắn với địa chỉ IP 0.0.0.0 và chỉ có thể bị khai thác từ xa khi nếu truy cập đến các máy Client không đáng tin cậy.
Theo tìm kiếm từ onyphe, một công cụ tra cứu mã nguồn mở và dữ liệu về các mối đe doạ, hiện có trên 170.000 thiết bị có kết nối AJP Connector trên Internet.
Cập nhật bản vá ngay lập tức
Lỗ hổng đã được báo cáo cho đội ngũ Apache Tomcat và hãng này phát hành phiên bản Apache 9.0.31, 8.5.51 và 7.0.100 để xử lý.
Các phiên bản mới nhất này cũng vá hai lỗi CVE-2020-1935 và CVE-2019-17569 ở mức độ nghiêm trọng thấp.
Các nhà quản trị web được khuyến cáo cập nhật bản vá ngay lập tức và không bao giờ mở cổng AJP đến các máy Client không đáng tin cậy.
Đội ngũ của Tomcat cho biết: “Người dùng nên lưu ý một thay đổi đã được thực hiện trong cấu hình AJP Connector mặc định phiên bản 9.0.31. Do vậy người dùng cập nhật lên phiên bản 9.0.31 hoặc cao hơn sẽ cần phải thực hiện những thay đổi nhỏ trong cấu hình của mình”.
Tuy nhiên, nếu vì lý do nào đó, người dùng không thể nâng cấp phiên bản máy chủ bị ảnh hưởng ngay lập tức, thì có thể khắc phục tạm thời bằng cách tắt AJP Connector.