GhostCat - Lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ Apache Tomcat

10:00 | 03/04/2020 | LỖ HỔNG ATTT

Được gán mã CVE-2020-1938, lỗ hổng này cho phép kẻ tấn công có thể đọc nội dung của bất kỳ tệp tin hoặc thực thi mã tùy ý từ xa trên máy chủ web của nạn nhân.

GhostCat - Lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ Apache Tomcat

Các chuyên gia khuyến nghị rằng, nếu các máy chủ web đang chạy Apache Tomcat, thì người dùng cần khẩn trương cài đặt ngay phiên bản mới nhất để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép. Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua đều bị ảnh hưởng bởi lỗ hổng này. Do lỗ hổng có thể bị khai thác trong cấu hình mặc định.

Được đặt tên là Ghostcat và gán mã CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không xác thực đọc nội dung của bất kỳ tệp nào trên máy chủ web bị tấn công và lấy tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải tệp lên.

Theo công ty an ninh mạng Chaitin Tech (Trung Quốc), lỗ hổng này nằm trong giao thức Apache JServ Protocol (AJP) của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính. Giao thức AJP về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.

Mặc dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng nó gán với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập từ các máy khách không tin cậy. Theo onyphe - một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có hơn 170.000 thiết bị đang mở AJP Connector cho mọi người thông qua Internet tại thời điểm này.

Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng 2/2020 cho dự án Apache Tomcat, dự án hiện đã phát hành các phiên bản Apache Tomcat 9.0.31, 8.5.51 và 7.0.100 để khắc phục vấn đề này. Các phiên bản mới nhất cũng bao gồm bản vá cho 2 lỗ hổng CVE-2020-1935 và CVE-2019-17569.

Các quản trị viên được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và không công khai cổng AJP cho các máy khách không tin cậy. Bởi AJP giao tiếp qua kênh không an toàn và chỉ nên sử dụng trong một mạng tin cậy.

"Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng, khi người dùng nâng cấp lên phiên bản Apache Tomcat 9.0.31 trở lên, thì sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của họ", đại diện dự án Apache Tomcat cho biết.

Tuy nhiên, nếu vì một lý do nào đó, người dùng không thể nâng cấp máy chủ web ngay lập tức, thì cũng có thể vô hiệu hóa AJP Connector hoặc thay đổi địa chỉ IP mặc định thành localhost.

Anh Nguyễn (The Hacker News)

‹ › ×

Tin liên quan

Lỗ hổng bảo mật biến thiết bị y tế trở thành công cụ giết người

16:00 | 11/03/2020

Các lỗ hổng này được gọi chung là URGENT/11, cho phép tin tặc có thể chiếm quyền điều khiển toàn bộ nhà máy tự động, thậm chí cả các thiết bị y tế từ xa, biến chúng từ những thiết bị cứu người thành giết người.

Phát hiện 3 lỗ hổng bảo mật trên phần mềm máy chủ web Apache

08:00 | 11/09/2020

Mới đây, Apache đã phát hành bản vá cho các lỗ hổng trong phần mềm máy chủ web của hãng. Những lỗ hổng này có thể dẫn đến các cuộc tấn công thực thi mã tùy ý. Thậm chí, trong một số trường hợp còn có thể cho phép kẻ tấn công đánh sập hệ thống và thực hiện tấn công từ chối dịch vụ.

Lỗ hổng nghiêm trọng trong Apache Log4j ảnh hưởng tới hàng triệu thiết bị

16:00 | 16/12/2021

Các chuyên gia an ninh mạng vừa cảnh báo về lỗ hổng bảo mật nghiêm trọng Log4Shell định danh CVE-2021-44228, tồn tại trong Apache Log4j gây ảnh hưởng đến hàng triệu thiết bị.

Phát hiện 5 lỗ hổng ảnh hưởng đến một số thiết bị mạng của Cisco

10:00 | 10/03/2020

Một số thiết bị mạng do Cisco sản xuất như bộ định tuyến, chuyển mạch, điện thoại IP và máy ảnh đã được phát hiện là dễ bị tấn công trước năm lỗ hổng bảo mật mới. Những lỗ hổng này có thể cho phép tin tặc kiểm soát hoàn toàn các thiết bị và tấn công hệ thống mạng của doanh nghiệp.

Lỗ hổng Kr00k làm rò rỉ dữ liệu của hơn một tỷ thiết bị Wi-Fi

08:00 | 06/03/2020

Một lỗ hổng mới vừa được phát hiện ảnh hưởng đến hơn một tỷ thiết bị có khả năng phát Wi-Fi trước khi các bản vá được phát hành. Theo công ty an ninh mạng ESET tiết lộ vào ngày 26/02/2020, lỗ hổng này có thể cho phép tin tặc lấy cắp thông tin nhạy cảm từ kết nối không dây.

Cập nhật bản vá lỗ hổng bảo mật tháng 02/2020

10:00 | 25/02/2020

Trung tuần tháng 02/2020, các hãng công nghệ lớn đã phát hành các cập nhật bảo mật cho các sản phẩm của mình. Người dùng và quản trị viên cần theo dõi và cài đặt các cập nhật mới nhất để đảm bảo an toàn cho hệ thống và thiết bị.

Tin cùng chuyên mục

Lỗ hổng trên DeFi trên Curve Finance được trao thưởng lên tới 250.000 USD

09:00 | 17/04/2024

Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

Lỗ hổng trong camera của Wyze cho phép người dùng có thể xem video từ các ngôi nhà khác

10:00 | 04/03/2024

Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.