Преступники сканируют Сеть на предмет уязвимых серверов Apache Tomcat

Специалисты из компании Bad Packets зафиксировали массовое сканирование Сети на предмет серверов Apache Tomcat, содержащих уязвимость Ghostcat ( CVE-2020-1938 ). Эксплуатация данной уязвимости позволяет потенциальным злоумышленникам перехватить контроль над серверами.

Уязвимость Ghostcat содержится в двоичном протоколе Apache JServ Protocol (AJP), обеспечивающем передачу входящих запросов с web-сервера до сервера приложений. AJP коннектор по умолчанию включен на всех серверах Tomcat и слушает порт 8009. Проблема затрагивает ветки Apache Tomcat 9.x (< 9.0.31) 8.x (< 8.5.51), Apache Tomcat 7.x (< 7.0.100) и Apache Tomcat 6.x.

Разработчики Apache Tomcat исправили уязвимость в версиях Apache Tomcat 7.0.100, 8.5.51 и 9.0.31 за исключением ветки 6.x, поддержка которой была прекращена в 2016 году.

По результатам поискового запроса Shodan, в настоящее время в Сети доступно более 890 тыс. уязвимых серверов Tomcat.

Tomcat — контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP). Tomcat позволяет запускать web-приложения и содержит ряд программ для самоконфигурирования.