Breaking News
AMR | Citrix Webinar: The Next New Normal

พบช่องโหว่อายุกว่า 10 ปี ‘Ghostcat’ ใน Apache Tomcat แนะผู้ใช้เร่งอัปเดต

ผู้เชี่ยวชาญจาก Chaitin Tech ของจีนได้เปิดเผยช่องโหว่ Ghostcat บน Apache Tomcat ซึ่งกระทบกับเวอร์ชันตั้งแต่ 6, 7, 8 และ 9 โดยช่องโหว่ส่งผลให้เกิดการลอบอ่านไฟล์บนเซิร์ฟเวอร์หรือลอบรันโค้ดได้

credit : securityweek

CVE-2020-1938 หรือ Ghostcat เป็นช่องโหว่ในโปรโตคอล Tomcat AJP โดย AJP ย่อมาจาก Apache JServe Protocol ถูกออกแบบมาเพื่อช่วยเพิ่มประสิทธิภาพด้วยการทำ Proxy Request ขาเข้าจากเว็บเซิฟร์เวอร์ไปยังแอปพลิเคชันเซิร์ฟเวอร์ ทั้งนี้ Tomcat ได้มีการเปิดใช้งาน AJP เพื่อใช้แลกเปลี่ยนข้อมูลกับ Apache HTTPD บนเว็บเซิร์ฟเวอร์และ Instance ตัวอื่นๆ ซึ่ง Default จะเปิดไว้เสมอที่พอร์ต 8009

สำหรับ Ghostcat นั้นจะช่วยให้ผู้โจมตีสามารถเข้าไปลอบอ่านหรือเขียนไฟล์บนเซิร์ฟเวอร์ Tomcat ได้ เช่น ไปอ่านไฟล์คอนฟิคหรือขโมย API Token หรือลอบเขียนไฟล์บนเซิฟร์เวอร์ (หากเซิร์ฟเวอร์เปิดให้ผู้ใช้อัปโหลดไฟล์ได้)

การป้องกัน

ปัจจุบันมีการแพตช์อัปเดตออกมาแล้วสำหรับเวอร์ชัน 7.x, 8.x และ 9.x แต่ไม่มีแพตช์สำหรับ 6.x เพราะหมดอายุไปตั้งแต่ปี 2016 (6.x ออกมานานกว่า 10 ปีแล้ว แสดงว่าที่ผ่านมามีช่องโหว่อยู่ตลอด) ทั้งนี้ผู้เชี่ยวชาญจาก Chaitin Tech ได้แจกเครื่องมือตรวจสอบของตนเอาไว้ทดสอบว่ามีช่องโหว่หรือไม่บน GitHub นอกจากนี้ Ghostcat ยังกระทบไปถึง Red Hat ที่มาพร้อมกับ Tomcat ด้วย เช่น JBossWeb หรือ JBoss EAP จึงแนะนำให้ผู้ใช้งานปิด AJP Connector ถ้าไม่ใช้หรืออย่า Binding เข้ากับ Localhost และควรจำกัดการเข้าถึงพอร์ต 8009 ผ่านอินเทอร์เน็ต

อย่างไรก็ตามปัจจุบันมีการเผยแพร่โค้ด PoC หลายแห่งแล้วบนอินเทอร์เน็ต เช่น Tenable หรือผู้เชี่ยวชาญของจีน ดังนั้นผู้ใช้งานควรตรวจสอบและอัปเดตตัวเองครับ

ที่มา :  https://www.zdnet.com/article/ghostcat-bug-impacts-all-apache-tomcat-versions-released-in-the-last-13-years/ และ  https://www.securityweek.com/apache-tomcat-affected-serious-ghostcat-vulnerability



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee Web Security Gateway

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย McAfee Webinar เรื่อง “Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee …

สิงคโปร์เตรียมยกระดับการเข้ารหัสข้อมูลด้วย Quantum Cryptography

ST Engineering และ National University of Singapore (NUS) เตรียมนำ Measurement-Device-Independent Quantum Key Distribution (MDI QKD) …