GhostCat: Neue hochriskante Schwachstelle betrifft Server mit Apache Tomcat - Admijalo Technology
Apache Server mit Tomcat - Riskante Schwachstelle - GhostCat

GhostCat: Neue hochriskante Schwachstelle betrifft Server mit Apache Tomcat

Wenn Ihr Webserver auf Apache Tomcat läuft, sollten Sie sofort die neueste verfügbare Version der Serveranwendung installieren, um zu verhindern, dass Hacker die unbefugte Kontrolle darüber übernehmen.
Es ist möglich, weil alle Versionen (9.x8.x7.x6.x) des Apache Tomcat, die in den letzten 13 Jahren veröffentlicht wurden, für einen neuen „File Read and Inclusion Bug“ (CVSS 9.8) verwundbar sind, der in der Standardkonfiguration ausgenutzt werden kann.
Aber es ist beunruhigender, weil mehrere Proof-of-Concept-Ausnutzungen für diese Schwachstelle auch im Internet aufgetaucht sind, wodurch es für jedermann leicht ist, sich in öffentlich zugängliche, anfällige Webserver zu hacken.
Der Fehler, der als „GhostCat“ bezeichnet und als CVE-2020-1938 verfolgt wird, könnte es nicht authentifizierten, entfernten Angreifern ermöglichen, den Inhalt jeder Datei auf einem anfälligen Webserver zu lesen und sensible Konfigurationsdateien oder Quellcode zu erhalten oder beliebigen Code auszuführen, wenn der Server das Hochladen von Dateien erlaubt.

Was ist ein GhostCat-Fehler?

Nach Angaben des chinesischen Cybersicherheitsunternehmens Chaitin Tech liegt die Schwachstelle im AJP-Protokoll der Apache-Tomcat-Software, die durch die unsachgemäße Handhabung eines Attributs entsteht.
Das Apache-JServ-Protokoll (AJP) ist im Grunde eine optimierte Version des HTTP-Protokolls, um Tomcat die Kommunikation mit einem Apache-Webserver zu ermöglichen.
Obwohl das AJP-Protokoll standardmäßig aktiviert ist und am TCP-Port 8009 lauscht, ist es an die IP-Adresse 0.0.0.0 gebunden und kann nur aus der Ferne ausgenutzt werden, wenn es für nicht vertrauenswürdige Clients zugänglich ist.
Laut „onyphe“, einer Suchmaschine für Open-Source- und Cyber-Bedrohungsdaten, gibt es zum Zeitpunkt der Erstellung dieses Eintrages mehr als 170.000 Geräte, die einen AJP-Connector für jedermann über das Internet zugänglich machen.

Apache Tomcat Schwachstelle: Patch und Abmilderung

Nach Angaben des chinesischen Cybersicherheitsunternehmens Chaitin Tech liegt die Schwachstelle im AJP-Protokoll der Apache-Tomcat-Software, die durch die unsachgemäße Handhabung eines Attributs entsteht.
Web-Administratoren wird dringend empfohlen, die Software-Updates so schnell wie möglich anzuwenden, und es wird empfohlen, den AJP-Port niemals nicht vertrauenswürdigen Clients auszusetzen, da er über den unsicheren Kanal kommuniziert und für die Verwendung innerhalb eines vertrauenswürdigen Netzwerks vorgesehen ist.
Wenn Sie jedoch aus irgendeinem Grund Ihren betroffenen Webserver nicht sofort aktualisieren können, können Sie den AJP-Connector auch direkt deaktivieren oder seine Abhöradresse auf den Localhost ändern.

Jetzt kostenfreies Erstgespräch sichern!

Formular ausfüllen und unverbindliches Erstgespräch sichern.