Các chuyên gia khuyến nghị rằng, nếu các máy chủ web đang chạy Apache Tomcat, thì người dùng cần khẩn trương cài đặt ngay phiên bản mới nhất để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép. Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua đều bị ảnh hưởng bởi lỗ hổng này. Do lỗ hổng có thể bị khai thác trong cấu hình mặc định.
Được đặt tên là Ghostcat và gán mã CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không xác thực đọc nội dung của bất kỳ tệp nào trên máy chủ web bị tấn công và lấy tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải tệp lên.
Theo công ty an ninh mạng Chaitin Tech (Trung Quốc), lỗ hổng này nằm trong giao thức Apache JServ Protocol (AJP) của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính. Giao thức AJP về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.
Mặc dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng nó gán với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập từ các máy khách không tin cậy. Theo onyphe - một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có hơn 170.000 thiết bị đang mở AJP Connector cho mọi người thông qua Internet tại thời điểm này.
Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng 2/2020 cho dự án Apache Tomcat, dự án hiện đã phát hành các phiên bản Apache Tomcat 9.0.31, 8.5.51 và 7.0.100 để khắc phục vấn đề này. Các phiên bản mới nhất cũng bao gồm bản vá cho 2 lỗ hổng CVE-2020-1935 và CVE-2019-17569.
Các quản trị viên được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và không công khai cổng AJP cho các máy khách không tin cậy. Bởi AJP giao tiếp qua kênh không an toàn và chỉ nên sử dụng trong một mạng tin cậy.
"Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng, khi người dùng nâng cấp lên phiên bản Apache Tomcat 9.0.31 trở lên, thì sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của họ", đại diện dự án Apache Tomcat cho biết.
Tuy nhiên, nếu vì một lý do nào đó, người dùng không thể nâng cấp máy chủ web ngay lập tức, thì cũng có thể vô hiệu hóa AJP Connector hoặc thay đổi địa chỉ IP mặc định thành localhost.
Anh Nguyễn (The Hacker News)
16:00 | 11/03/2020
08:00 | 11/09/2020
16:00 | 16/12/2021
10:00 | 10/03/2020
08:00 | 06/03/2020
10:00 | 25/02/2020
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024