CSIRT Panamá Aviso 2020-03-4 -GhostCat: vulnerabilidad que afecta a todas las versiones de Tomcat

Digital binary code concept.

Posted By: CSIRT Panamá March 4, 2020

Gravedad: Alta
Fecha de publicación: 4 de marzo de 2020
Fuente: https://blog.segu-info.com.ar/ |https://www.chaitin.cn/en/ghostcat |https://tomcat.apache.org/

Sistemas Afectados
Apache Tomcat 9.x
Apache Tomcat 8.x
Apache Tomcat 7.x
Apache Tomcat 6.x

I.Descripción
Si actualmente utiliza en su servidor web el servicio Apache Tomcat es importante que actualice a la última versión disponible para evitar que alguien tome el control de su servidor sin autorización.

Esta vulnerabilidad apodada como Ghostcat . El fallo permite la lectura de ficheros arbitrarios en el servidor a un usuario no autentificado, de esta manera se podrían leer ficheros de configuración o el código de la aplicación hospedada en el servidor web. Incluso en el caso de existir un uploader en la web, sería posible ejecutar código remoto.

El fallo se encuentra en el protocolo Apache JServ Protocol (AJP) es una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con el servidor web Apache- y surge del manejo inadecuado de uno de sus atributos. Este protocolo viene habilitado por defecto en el puerto TCP 8009, vinculado a la dirección 0.0.0.0.

Si el sitio web permite a un usuario subir archivos al servidor, se podría subir primero un archivo con el código del payload en JSP y luego incluir el archivo subido explotando Ghostcat, que finalmente resultaría en la ejecución remota de código. el archivo cargado en sí puede incluirse bajo cualquier extensión, tanto de imágenes, como archivos de texto plano, etc.

II.Solución
Apache Tomcat ha lanzado oficialmente las versiones 9.0.31, 8.5.51 y 7.0.100 para corregir esta vulnerabilidad.
Para corregir esta vulnerabilidad correctamente, primero debe determinar si el servicio Tomcat AJP Connector se usa en su entorno de servidor:

  • Si no se usa clúster o proxy inverso, básicamente puede determinar que no se usa AJP.
  • De lo contrario, debe averiguar si el clúster o el servidor inverso se está comunicando con el servicio Tomcat AJP Connector.
  • Si no se utiliza el servicio del conector AJP:
    Si no se utiliza el servicio del conector AJP, puede actualizar Tomcat directamente a la versión 9.0.31, 8.5.51 o 7.0.100 para corregir la vulnerabilidad.
    Si no puede realizar la actualización, puede optar por deshabilitar el conector AJP directamente o cambiar su dirección de escucha al localhost.

III. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa