Уязвимость в Apache Tomcat позволяет внедрить бэкдор

В сервере приложений Apache Tomcat обнаружена серьезная уязвимость, позволяющая перехватить управление уязвимыми системами. Проблема, получившая название Ghostcat, затрагивает все версии Apache Tomcat, выпущенные за последние 13 лет.

Уязвимость содержится в протоколе Apache JServ Protocol (AJP) - двоичном протоколе, обеспечивающем передачу входящих запросов с web-сервера до сервера приложений. AJP коннектор по умолчанию включен на всех серверах Tomcat и слушает порт 8009.

По словам специалистов китайской компании Chaitin, Ghostcat (CVE-2020-1938, CNVD-2020-10487) может использоваться для чтения/записи файлов на сервер Tomcat. К примеру, атакующие могут получить доступ к конфигурационным файлам приложения и украсть пароли либо записать файлы на сервер (бэкдоры, web-шеллы и т. д.). Последнее возможно только в том случае, если какое-либо приложение на сервере разрешает загрузку файлов.

Уязвимости подвержены следующие ветки Apache Tomcat:

• Apache Tomcat 9.x < 9.0.31

• Apache Tomcat 8.x < 8.5.51

• Apache Tomcat 7.x < 7.0.100

• Apache Tomcat 6.x

Корректирующие обновления уже доступны для релизов Tomcat 7.x , Tomcat 8.x , и Tomcat 9.x , за исключением ветки 6.x, поддержка которой была прекращена в 2016 году. Согласно результатам поиска BinaryEdge, в настоящее время в Сети доступно более миллиона Tomcat-серверов. Кроме того, с момента публикации информации о проблеме на GitHub уже появился ряд PoC-кодов [ 1 , 2 , 3 , 4 , 5 ] для тестирования и осуществления атак Ghostcat.

Tomcat - контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP). Написан на языке Java.Tomcat позволяет запускать web-приложения, содержит ряд программ для самоконфигурирования.