در آسیب‌پذیری CVE-2020-1938 اگر وب سرور شما روی سرور Apache Tomcat راه‌اندازی شده است در سریع‌ترین زمان ممکن برای جلوگیری کردن از دسترسی هکرها و کنترل سرور در حالت بدون احراز هویت آخرین نسخه نرم‌افزار را نصب نمایید.

این آسیب‌پذیری CVE-2020-1938 با درجه آسیب‌پذیری CVSS برابر ۹.۸ است. این نقص در تمامی نسخه های ۶ تا ۹ این نرم افزار در حالت تنظیمات پیش فرض به حمله کننده اجازه دسترسی از راه دور بدون احراز هویت را می‌دهد. مهمتر از آن وجود PoC های عمومی شده در فضای اینترنت است که به هر فرد اجازه اکسپلویت را داده است.

آسیب‌پذیری: CVE-2020-1938

درجه آسیب‌پذیری:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

سیستم‌های آسیب‌پذیر:

Apache Tomcat 9.0.0.M1 to 9.0.0.30, 8.5.0 to 8.5.50 and 7.0.0 to 7.0.99

نقص Ghostcat و شناسایی آن

آسیب پذیری Ghostcat به مهاجم از راه دور و بدون احراز هویت اجازه خواندن هر فایلی را در وب سرور می‌دهد و در صورتیکه سرور اجازه آپلود فایل را بدهد می‌تواند منجربه اجرای فایل از راه دور گردد. طبق گزارش شرکت امنیتی چینی Chaitin Tech، این آسیب‌پذیری روی پروتکل AJP در نرم‌افزار Apache Tomcat قرار دارد که به‌دلیل کنترل ناردست تنظیمات این نرم‌افزار است.

محققان اشاره کردند که “اگر سایت اجازه آپلود کردن فایل را به کاربر بدهد حمله کننده می‌تواند فایل مخرب شامل اسکریپت JSP را روی سرور آپلود کند (فایل مخرب می‌تواند به هر فرمتی مانند عکس، نوشته و هر فرمت دیگه‌ای باشد) و فایل را با اکسپلویت کردن Ghostcat اجرا کند که باعث اجرای کد از راه دور می‌شود”.

پروتکل AJP (Apache Jserv Protocl) نسخه بهینه‌سازی شده پروتکل HTTP است که به Tomcat اجازه ارتباط برقرار کردن به وب سرور Apache را می‌دهد.

اگرچه پروتکل AJP در حالت پیش‌فرض فعال است و به پورت ۸۰۰۹ از TCP گوش می‌دهد. این پروتکل به آدرس IP 0.0.0.0 مرتبط است و می‌تواند از راه دور زمانی که قابل دسترس توسط کلاینت باشد اکسپلویت شود.

طبق نظر “onyphe” که یک موتور جستجو متن باز در زمینه دیتا تهدیدات هوشمند است، بیش از ۱۷۰,۰۰۰ دستگاه به رابط AJP از طریق اینترنت اتصال دارند.

تیم Chaitin، این آسیب پذیری را در ماه گذشته شناسایی نمود و به شرکت Apache  گزارش کرد. به روز رسانی جدید این شرکت این آسیب پذیری و دو باگ دیگر را پوشش می‌دهند.

به مدیران سایت‌ها قویا پیشنهاد می‌شود در سریعترین زمان ممکن به‌روز رسانی نرم‌افزار را انجام دهند و توصیه می‌شود که پورت AJP هیچ وقت برای کلاینت قابل دسترس نباشد. طبق گفته تیم Tomcat “کابران باید توجه داشته باشند که در نسخه ۹.۰.۳۱ تنظیمات AJP بصورت پیش فرض برای امنیت بیشتر این نسخه انجام شده است. کاربرانی که نرم افزار خود را به این نسخه و یا بالاتر ارتقا می‌دهند نیازمند تغییرات جزئی در تنظیمات هستند”.

همچنین در صورتیکه در حال حاضر امکان به روز رسانی سریع AJP را ندارید می توانید این رابط با غیرفعال کنید و یا آدرس دسترسی به آن را به localhost تغییر دهید.

باگدشت در این صفحه به بررسی آسیب پذیری Ghostcat پرداخت. امیدواریم اطلاعات لازم را کسب کرده باشید.

منابع:

https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

https://nvd.nist.gov/vuln/detail/CVE-2020-1938