TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ผู้เชี่ยวชาญจาก Chaitin Tech ของจีนได้เปิดเผยช่องโหว่ Ghostcat บน Apache Tomcat ซึ่งกระทบกับเวอร์ชันตั้งแต่ 6, 7, 8 และ 9 โดยช่องโหว่ส่งผลให้เกิดการลอบอ่านไฟล์บนเซิร์ฟเวอร์หรือลอบรันโค้ดได้
CVE-2020-1938 หรือ Ghostcat เป็นช่องโหว่ในโปรโตคอล Tomcat AJP โดย AJP ย่อมาจาก Apache JServe Protocol ถูกออกแบบมาเพื่อช่วยเพิ่มประสิทธิภาพด้วยการทำ Proxy Request ขาเข้าจากเว็บเซิฟร์เวอร์ไปยังแอปพลิเคชันเซิร์ฟเวอร์ ทั้งนี้ Tomcat ได้มีการเปิดใช้งาน AJP เพื่อใช้แลกเปลี่ยนข้อมูลกับ Apache HTTPD บนเว็บเซิร์ฟเวอร์และ Instance ตัวอื่นๆ ซึ่ง Default จะเปิดไว้เสมอที่พอร์ต 8009
สำหรับ Ghostcat นั้นจะช่วยให้ผู้โจมตีสามารถเข้าไปลอบอ่านหรือเขียนไฟล์บนเซิร์ฟเวอร์ Tomcat ได้ เช่น ไปอ่านไฟล์คอนฟิคหรือขโมย API Token หรือลอบเขียนไฟล์บนเซิฟร์เวอร์ (หากเซิร์ฟเวอร์เปิดให้ผู้ใช้อัปโหลดไฟล์ได้)
การป้องกัน
ปัจจุบันมีการแพตช์อัปเดตออกมาแล้วสำหรับเวอร์ชัน 7.x, 8.x และ 9.x แต่ไม่มีแพตช์สำหรับ 6.x เพราะหมดอายุไปตั้งแต่ปี 2016 (6.x ออกมานานกว่า 10 ปีแล้ว แสดงว่าที่ผ่านมามีช่องโหว่อยู่ตลอด) ทั้งนี้ผู้เชี่ยวชาญจาก Chaitin Tech ได้แจกเครื่องมือตรวจสอบของตนเอาไว้ทดสอบว่ามีช่องโหว่หรือไม่บน GitHub นอกจากนี้ Ghostcat ยังกระทบไปถึง Red Hat ที่มาพร้อมกับ Tomcat ด้วย เช่น JBossWeb หรือ JBoss EAP จึงแนะนำให้ผู้ใช้งานปิด AJP Connector ถ้าไม่ใช้หรืออย่า Binding เข้ากับ Localhost และควรจำกัดการเข้าถึงพอร์ต 8009 ผ่านอินเทอร์เน็ต
อย่างไรก็ตามปัจจุบันมีการเผยแพร่โค้ด PoC หลายแห่งแล้วบนอินเทอร์เน็ต เช่น Tenable หรือผู้เชี่ยวชาญของจีน ดังนั้นผู้ใช้งานควรตรวจสอบและอัปเดตตัวเองครับ
ที่มา : https://www.zdnet.com/article/ghostcat-bug-impacts-all-apache-tomcat-versions-released-in-the-last-13-years/ และ https://www.securityweek.com/apache-tomcat-affected-serious-ghostcat-vulnerability
