کاربرانی که وب سرور آنها، آپاچی تامکت را اجرا میکند، باید سریعاً آخرین نسخهی موجود برنامهی سرور را نصب کند تا از دستیابی نفوذگران به کنترل غیرمجاز آن جلوگیری کنند.
همهی نسخههای آپاچی تامکت که در ۱۳ سال گذشته منتشر شدهاند، در برابر اشکال جدید خواندن فایل که با شدت بالا ارزیابی میشود، آسیبپذیر هستند که ممکن است در پیکربندی پیشفرض مورد بهرهبرداری قرار گیرند.
از آنجا که چند بهرهبرداری اثبات مفهومی این آسیبپذیری در اینترنت منتشر شده است و نفوذ به وبسرورهای آسیبپذیر قابل دسترسی عمومی را برای هر فردی امکانپذیر میکند، این مسأله نگرانکنندهتر شده است.
این آسیبپذیری که Ghostcat نامیده میشود و با شناسهی CVE-2020-1938 ردیابی میشود، به مهاجمان راه دور احرازهویتنشده اجازه میدهد تا محتوای هر فایل موجود در یک وب سرور آسیبپذیر را بخوانند و فایلهای پیکربندی حساس یا کد منبع را به دست آورند، یا در صورتی که سرور امکان بارگذاری فایل را فراهم کرده باشد کد دلخواه را اجرا کنند.
بهگفتهی شرکت امنیت سایبری چین، Chaitin Tech، این آسیبپذیری در پروتکل AJP نرمافزار آپاچی تامکت وجود دارد که ناشی از مدیریت نادرست یک ویژگی است.
پژوهشگران بیان میکنند که درصورتیکه وبگاه امکان بارگذاری فایل را به کاربران بدهد، یک مهاجم میتواند ابتدا فایل حاوی کد اسکریپت JSP مخرب را در سرور بارگذاری کند و سپس با بهرهبرداری از Ghostcat فایل بارگذاریشده را include کند که درنهایت میتواند منجر به اجرای کد از راه دور شود.
پروتکل Apache JServ Protocol (AJP) در اصل یک نسخهی بهینهسازیشده از پروتکل HTTP است که به تامکت اجازه میدهد تا با یک وب سرور آپاچی ارتباط برقرار کند.
اگرچه پروتکل AJP بهطور پیشفرض فعال میشود و درگاه ۸۰۰۹ TCP را شنود میکند، اما به آدرس آیپی ۰٫۰٫۰٫۰ محدود میشود و تنها در صورت دسترسی کلاینت غیرفابل اعتماد ممکن است بهصورت از راه دور مورد بهرهبرداری قرار گیرد.
طبق گزارش onyphe، موتور جستجوی دادههای متنباز، بیش از ۱۷۰٬۰۰۰ دستگاه وجود دارد که یک AJP Connector را در اختیار همهی کاربران اینترنت قرار میدهد.
پژوهشگران Chaitin این آسیبپذیری را در ماه گذشته کشف و به پروژهی آپاچی تامکت گزارش دادند که درحالحاضر آپاچی تامکت نسخههای ۹٫۰٫۳۱، ۸٫۵٫۵۱ و ۷٫۰٫۱۰۰ را برای رفع این مسأله منتشر کرده است.
آخرین نسخه آن نیز ۲ مسأله با شدت بالای HTTP request smuggling (CVE-2020-1935 و CVE-2019-17569) را رفع کرده است.
به شدت به مدیران وب توصیه میشود تا بهروزرسانیهای نرمافزاری را هر چه سریعتر اعمال کنند و توصیه میشود که هرگز درگاه AJP را در اختیار کلاینت غیرقابل اعتماد قرار ندهند، زیرا در کانال ناامن ارتباط برقرار میکند و در یک شبکهی غیرقابل اعتماد مورد استفاده قرار میگیرد.
گروه تامکت بیان میکند که کاربران باید توجه داشته باشند که در پیکربندی AJP Connector پیشفرض در نسخهی ۹٫۰٫۳۱ تغییراتی ایجاد شده است تا پیکربندی پیشفرض را سختتر کند. بهاحتمال زیاد کاربرانی که به نسخهی ۹٫۰٫۳۱ یا نسخههای بعدی بهروزرسانی کردهاند، باید پیکربندی خود را تغییرات جزئی دهند.
بااینحال، اگر به دلایلی کاربری نتواند وب سرور آسیبدیدهی خود را بلافاصله بهروزرسانی کند، میتواند بهطور مستقیم AJP Connector را غیرفعال کند و یا آدرس شنود خود را به لوکالهاست تغییر دهد.