آسیب‌پذیری جدید GhostCat سرورهایی را که آپاچی تامکت را اجرا می‌کنند، تحت تأثیر قرار می‌دهد

کاربرانی که وب سرور آن‌ها، آپاچی تامکت را اجرا می‌کند، باید سریعاً آخرین نسخه‌ی موجود برنامه‌ی سرور را نصب کند تا از دست‌یابی نفوذگران به کنترل غیرمجاز آن جلوگیری کنند.

همه‌ی نسخه‌های آپاچی تامکت که در ۱۳ سال گذشته منتشر شده‌اند، در برابر اشکال جدید خواندن فایل که با شدت بالا ارزیابی می‌شود، آسیب‌پذیر هستند که ممکن است در پیکربندی پیش‌فرض مورد بهره‌برداری قرار گیرند.

از آن‌جا که چند بهره‌برداری اثبات مفهومی این آسیب‌پذیری در اینترنت منتشر شده است و نفوذ به وب‌سرورهای آسیب‌پذیر قابل دسترسی عمومی را برای هر فردی امکان‌پذیر می‌کند، این مسأله نگران‌کننده‌تر شده است.

این آسیب‌پذیری که Ghostcat نامیده می‌شود و با شناسه‌ی CVE-2020-1938 ردیابی می‌شود، به مهاجمان راه دور احرازهویت‌نشده اجازه می‌دهد تا محتوای هر فایل موجود در یک وب سرور آسیب‌پذیر را بخوانند و فایل‌های پیکربندی حساس یا کد منبع را به دست آورند، یا در صورتی که سرور امکان بارگذاری فایل را فراهم کرده باشد کد دلخواه را اجرا کنند.

به‌گفته‌ی شرکت امنیت سایبری چین، Chaitin Tech، این آسیب‌پذیری در پروتکل AJP نرم‌افزار آپاچی تامکت وجود دارد که ناشی از مدیریت نادرست یک ویژگی است.

پژوهش‌گران بیان می‌کنند که درصورتی‌که وب‌گاه امکان بارگذاری فایل را به کاربران بدهد، یک مهاجم می‌تواند ابتدا فایل حاوی کد اسکریپت JSP مخرب را در سرور بارگذاری کند و سپس با بهره‌برداری از Ghostcat فایل بارگذاری‌شده را include کند که درنهایت می‌تواند منجر به اجرای کد از راه دور شود.

پروتکل Apache JServ Protocol (AJP) در اصل یک نسخه‌ی بهینه‌سازی‌شده از پروتکل HTTP است که به تامکت اجازه می‌دهد تا با یک وب سرور آپاچی ارتباط برقرار کند.

اگرچه پروتکل AJP به‌طور پیش‌فرض فعال می‌شود و درگاه ۸۰۰۹ TCP را شنود می‌کند، اما به آدرس آی‌پی ۰٫۰٫۰٫۰ محدود می‌شود و تنها در صورت دسترسی کلاینت غیرفابل اعتماد ممکن است به‌صورت از راه دور مورد بهره‌برداری قرار گیرد.

طبق گزارش onyphe، موتور جستجوی داده‌های متن‌‌باز، بیش از ۱۷۰٬۰۰۰ دستگاه وجود دارد که یک AJP Connector را در اختیار همه‌ی کاربران اینترنت قرار می‌دهد.

پژوهش‌گران Chaitin این آسیب‌پذیری را در ماه گذشته کشف و به پروژه‌ی آپاچی تامکت گزارش دادند که درحال‌حاضر آپاچی تامکت نسخه‌های ۹٫۰٫۳۱، ۸٫۵٫۵۱ و ۷٫۰٫۱۰۰ را برای رفع این مسأله منتشر کرده است.

آخرین نسخه آن نیز ۲ مسأله با شدت بالای HTTP request smuggling (CVE-2020-1935 و CVE-2019-17569) را رفع کرده است.

به شدت به مدیران وب توصیه می‌شود تا به‌روزرسانی‌های نرم‌افزاری را هر چه سریع‌تر اعمال کنند و توصیه می‌شود که هرگز درگاه AJP را در اختیار کلاینت غیرقابل اعتماد قرار ندهند، زیرا در کانال ناامن ارتباط برقرار می‌کند و در یک شبکه‌ی غیرقابل اعتماد مورد استفاده قرار می‌گیرد.

گروه تامکت بیان می‌کند که کاربران باید توجه داشته باشند که در پیکربندی AJP Connector پیش‌فرض در نسخه‌ی ۹٫۰٫۳۱ تغییراتی ایجاد شده است تا پیکربندی پیش‌فرض را سخت‌تر کند. به‌احتمال زیاد کاربرانی که به نسخه‌ی ۹٫۰٫۳۱ یا نسخه‌های بعدی به‌روزرسانی کرده‌اند، باید پیکربندی خود را تغییرات جزئی دهند.

بااین‌حال، اگر به دلایلی کاربری نتواند وب سرور آسیب‌دیده‌ی خود را بلافاصله به‌روزرسانی کند، می‌تواند به‌طور مستقیم AJP Connector را غیرفعال کند و یا آدرس شنود خود را به لوکال‌هاست تغییر دهد.

منبع

پست‌های مشابه

Leave a Comment