نفوذگرها اسکن سرورهای آپاچی تامکت آسیب‌پذیر در برابر حملات Ghostcat را آغاز کرده‌اند

براساس گزارش‌های منتشرشده، نفوذگرها در جستجو برای سرورهای آپاچی تامکت (Apache Tomcat) که تحت تأثیر آسیب‌پذیری اخیراً فاش‌شده‌ی CVE-2020-1938 با نام Ghostcat قرار دارند، اسکن وب را آغاز کرده‌اند. سرویس اطلاعاتی Bad Packets در تاریخ ۱ مارس با انتشار این خبر اعلام کرد که اسكن گسترده‌ی وب برای هدف قراردادن این آسیب‌پذیری آغاز شده و از سازمان‌ها خواست تا هرچه سریع‌تر سیستم‌های نصب‌شده‌ی خود را وصله كنند.

به گفته‌ی این شرکت، این اسکن وب به‌منظور فهرست‌کردن سرورهای آسیب‌پذیر با بررسی مسیر /WEB-INF/web.xml طراحی شده است. طبق گزارش‌ها، بسیاری از بهره‌برداری‌های اثبات مفهومی (PoC) منتشرشده توسط محققان مختلف نیز به این مسیر اشاره می‌کنند. به گفته‌ی Bad Packets، علاوه‌بر محققان امنیتی شناخته‌شده، صدها اسکن منحصربه‌فرد برای بررسی این آسیب‌پذیری که در چین میزبانی می‌شوند، نیز شناسایی شده است.

آسیب‌پذیری Ghostcat بیش از یک دهه است که وجود دارد و نسخه‌های ۶، ۷، ۸ و ۹ آپاچی تامکت را تحت تأثیر قرار می‌دهد. این نقص توسط شرکت امنیت سایبری Chaitin Tech، مستقر در چین، در تاریخ ۳ ژانویه به بنیاد نرم‌افزار آپاچی گزارش شده است. آپاچی نیز در ماه فوریه، با انتشار نسخه‌های ۹٫۰٫۳۱، ۸٫۵٫۵۱ و ۷٫۰٫۱۰۰ این آسیب‌پذیری را وصله کرد.

حفره‌ی امنیتی مذکور مربوط به پروتکل AJP آپاچی است که به‌منظور بهبود عملکرد، با پروکسی‌کردن درخواست‌های ورودی از یک سرور وب به یک سرور برنامه، طراحی شده است. یک مهاجم راه دور و غیرمجاز می‌تواند این آسیب‌پذیری را برای دسترسی به پیکربندی پیش‌فرض و فایل‌های کد منبع مورد بهره‌برداری قرار دهد. درصورتی‌که سرور به کاربران امکان بارگذاری فایل‌ها را فراهم کند، می‌توان از این نقص برای اجرای کد دلخواه نیز بهره‌برداری کرد. در اواخر فوریه گزارش شد که در یک اسکن، بیش از ۱۷۰هزار دستگاه آسیب‌پذیر به این حمله شناسایی شده است.

منبع

پست‌های مشابه

Leave a Comment

6 − 1 =