براساس گزارشهای منتشرشده، نفوذگرها در جستجو برای سرورهای آپاچی تامکت (Apache Tomcat) که تحت تأثیر آسیبپذیری اخیراً فاششدهی CVE-2020-1938 با نام Ghostcat قرار دارند، اسکن وب را آغاز کردهاند. سرویس اطلاعاتی Bad Packets در تاریخ ۱ مارس با انتشار این خبر اعلام کرد که اسكن گستردهی وب برای هدف قراردادن این آسیبپذیری آغاز شده و از سازمانها خواست تا هرچه سریعتر سیستمهای نصبشدهی خود را وصله كنند.
به گفتهی این شرکت، این اسکن وب بهمنظور فهرستکردن سرورهای آسیبپذیر با بررسی مسیر /WEB-INF/web.xml طراحی شده است. طبق گزارشها، بسیاری از بهرهبرداریهای اثبات مفهومی (PoC) منتشرشده توسط محققان مختلف نیز به این مسیر اشاره میکنند. به گفتهی Bad Packets، علاوهبر محققان امنیتی شناختهشده، صدها اسکن منحصربهفرد برای بررسی این آسیبپذیری که در چین میزبانی میشوند، نیز شناسایی شده است.
آسیبپذیری Ghostcat بیش از یک دهه است که وجود دارد و نسخههای ۶، ۷، ۸ و ۹ آپاچی تامکت را تحت تأثیر قرار میدهد. این نقص توسط شرکت امنیت سایبری Chaitin Tech، مستقر در چین، در تاریخ ۳ ژانویه به بنیاد نرمافزار آپاچی گزارش شده است. آپاچی نیز در ماه فوریه، با انتشار نسخههای ۹٫۰٫۳۱، ۸٫۵٫۵۱ و ۷٫۰٫۱۰۰ این آسیبپذیری را وصله کرد.
حفرهی امنیتی مذکور مربوط به پروتکل AJP آپاچی است که بهمنظور بهبود عملکرد، با پروکسیکردن درخواستهای ورودی از یک سرور وب به یک سرور برنامه، طراحی شده است. یک مهاجم راه دور و غیرمجاز میتواند این آسیبپذیری را برای دسترسی به پیکربندی پیشفرض و فایلهای کد منبع مورد بهرهبرداری قرار دهد. درصورتیکه سرور به کاربران امکان بارگذاری فایلها را فراهم کند، میتوان از این نقص برای اجرای کد دلخواه نیز بهرهبرداری کرد. در اواخر فوریه گزارش شد که در یک اسکن، بیش از ۱۷۰هزار دستگاه آسیبپذیر به این حمله شناسایی شده است.
